디지털 포렌식 # 2장

# Chapter 2

-      핵심적인 기술 개념

 

<비트, 바이트, 수의 체계>

‘바이너리’

: 1과 0으로만 이루어진 2진수 언어

(수학에서 보통 사용하는 1, 2, 3… 은 10진수)

1과 0을 ‘비트’라 부른다.

이 비트가 8개 모여 -> ‘바이트’를 이룬다. (ex : 11000011)

‘헥사데시멀’[헥스]

: 16진수

바이너리를 조금 더 편하게 표시할 수 있는 방법이다.

0~9 + A~F 를 사용하여 나타냄.

“0x”가 앞에 붙어 있거나, 숫자 뒤에 “h”가 붙어있으면 해당 숫자가 16진수라는 것을 나타내는 표지이다.

 

<바이너리에서 문자로>

: 컴퓨터에서는 ‘인코딩’을 통해 바이너리를 사람들이 읽을 수 있는 문자로 변환.

‘아스키코드’

: 영어를 표시하기 위한 인코딩 방법

128개의 문자를 정의, but 실제로 출력 가능한 문자는 94개

‘유니코드’

: 영어를 포함한 전세계의 모든 언어를 표시하기 위해 사용

수천 개의 문자로 이루어져 있다.

 

<파일 카빙>

File carving

-> “carve” “열심히 노력해서 ~을 이뤄내다, 찾아내다” 정도의 뜻으로 사용된 것 같다.

: 특정한 형태가 없는 데이터를 바탕을 파일의 위치를 확인하고 복원하기 위해 사용됨.

바이너리와 헥스를 해석할 수 있는 능력

먼저 잠재적인 파일을 식별한다.

-> 파일의 ‘헤더’로 보통 식별 (+푸터)

 

<파일 확장자, 시그니처>

‘파일 확장자’

: 파일의 성격을 구분 지어 주는 꼬리표

보통 파일의 속성이나 그 파일이 작성된 애플리케이션을 나타내는 알파벳 3~4개로 이루어진다.

 

‘시그니처 분석’

: 파일이 각자 고유하게 가지고 있는 포맷에서 그 기본이 되는 내용

-      헤더 시그니처

-      푸터 시그니처

(문서에 따라 시그니처를 ‘매직 넘버’라고 사용하는 경우도 있다고 한다.)

파일 시그니처는 파일 포맷 분석, 악성코드 분석, 파일 복구 등에서 중요하게 사용된다.

파일 카빙 도구에서 파일 시그니처를 파일 복구를 위해 없어서는 안되는 필수 요소이다.

* 시그니처 종류별 정리 : http://forensic-proof.com/archives/300

 

<저장장치, 메모리>

** 메모리 = 저장장치

이 두 단어를 거의 동일한 의미로 사용하고 있다.**

: 메모리와 저장장치 모두 -> 데이터를 저장하는 역할을 하는 ‘내부 하드웨어’를 가리킨다.

하드웨어 (참고)

‘휘발성 vs 비휘발성’

-      RAM

: 전력이 공급되는 동안만 데이터가 존재.

전력이 끊기면 데이터를 휘발 -> “메모리 휘발성”

현재 CPU에서 작업 중인 모든 데이터를 저장.

데이터는 RAM -> CPU으로 전송되어 실행된다.

-      하드드라이브

: “비휘발성” -> 포렌식은 대부분의 증거가 휘발되지 않고 보존되어 있는 하드 드라이브에 초점이 맞춰진다.

하드드라이브의 구조

‘데이터의 생성’

-      전자기

-      극미한 전자 트랜지스터(플래시)

-      빛의 반사(CD, DVD…)

‘데이터의 읽고 쓰기’

-      자기(‘전자기’) 디스크

-      하드 드라이브

   

-      플래시 메모리 [“솔리드 스테이트 드라이브/SSD”]

: 전기적으로 데이터를 읽고 쓸 수 있는 비휘발성 컴퓨터 기억 장치

다른 종류의 메모리와는 다르게 전기가 차단되어도 데이터가 지워지지 않는다.

트랜지스터로 구성되어 있고, 각 트랜지스터는 전하 o/x로 구분된다.

-> 전하 o : ‘1’, 전하 x : ‘0’

‘플래시 기반의 하드 드라이브’ 점점 증가하는 추세

*컴퓨터와 디지털 포렌식에 있어 중요 역할을 하고 있어 여러 이점과 도전 과제들을 제공하고 있음.

-      광 저장장치

: 광 디스크에 있는 반사 물질과 레이저를 사용하여 데이터를 쓰고 읽음.

-> CD, DVD, Blue-ray 디스크…

 

<컴퓨터 환경>

1.     독립형

: 다른 컴퓨터에 연결되어 있지 않은 컴퓨터.

-> 다루기 쉽고 가장 조사하기도 용이한 편

2.     네트워크

: 하나 이상 + 잠재적으로 많은 다른 컴퓨터에 연결되어 있는 컴퓨터.

-> 복잡도를 증가시킴 + 증거를 찾을 수 있는 위치 증가시킴

-> Ex : 하나의 컴퓨터에서 보통 찾을 수 있던 파일이 여러 서버나 다른 컴퓨터에 분산되어 있는 현상 발생.

3.     메인프레임

: 모든 컴퓨터 능력을 한 위치에 집중시킴.

-> 그 위치에 프로세서, 저장장치, 프로그램 모두가 집중되어 통제됨.

4.     클라우드

”클라우드 컴퓨팅”

: 사용자의 직접적인 활발한 관리 없이 컴퓨터 시스템 자원을 필요시에 바로 제공하는 것.

클라우드 서비스 ex : 인프라 서비스, 플랫폼 서비스, 소프트웨어 서비스

이러한 여러 서비스를 제공하며, 사용자가 이 중에서 사용한 만큼만 비용을 지불

-      IaaS

: 서비스 제공자로부터 하드웨어를 대여받는다.

-      PaaS

: 개발자가 필요에 따라 환경(하드웨어, 운영체제, 저장장치, 서버…)을 빌릴 수 있도록 제공.

-      SaaS

: 인터넷을 통해 고객이 필오한 소프트웨어를 제공

 

<데이터>

-      활성 데이터

: 일반적인 데이터, 드라이브에 할당된 공간에 위치한 파일들

-> 운영체제는 이러한 파일을 추적 : 윈도우 탐색기를 이용해 파일의 위치 파악 가능

-      숨은 데이터

: 이미 삭제되었거나 부분적으로 덮여진 데이터

-> 운영체제는 더이상 관리하지 않음 : 일반 사용자들에게는 더이상 보이지 않음, 윈도우 탐색기로 파악 불가능

-> 비트 스트림이나 포렌식 이미지 필요

*비트 스트림

: 바이트가 나열된 것으로 일반적으로 8비트로 되어 있음.

*포렌식 이미지

: ‘이미지 포렌식’을 얘기하는 건가…??

-      아카이브 데이터

: 여러 형태로 존재할 수 있다. ex : 외장하드, DVD, 백업 테이프

‘레거시 데이터’

: 기존에 운영하던 혹은 구형 시스템에서 생성, 저장된 데이터

“legacy”란 과거에 개발되어 현재에도 사용 중인 낡은 하드웨어나 소프트웨어를 일컬음.

 

<파일 시스템>

: 컴퓨터 내의 많은 파일을 관리하기 위해 사용하는 방법

‘할당된 공간 vs 할당되지 않은 공간’ (예외 : 호스트 보호 영역&디바이스 설정 오버레이)

: 특정 공간이 사용 O / X

윈도우는 할당되지 않은 공간에 있는 데이터는 볼 수 없음.

운영체제에 있어서 할당되지 않은 공간에 있는 파일은 볼 수 없는 것.

할당되지 않은 공간에 대한 설명

 

 

-      FAT

-> FAT12, FAT16, FAT32, FATX

-      NTFS

: FAT보다 훨씬 강력 + 다양한 기능

-      HFS+

: HFS에서 업그레이드된 버전

HFS, HFSX는 애플 제품에서 사용됨.

 

<데이터의 영속성>

“영속성” 오래 지속되는 성질

: ‘파일 삭제’ = ‘책 맨 뒤의 인덱스에서 그 항목을 삭제’

-> 인덱스에서 특정 항목을 삭제해도 그 앞에 페이지와 해당 내용은 책에서 삭제되지 않고 그대로 남아 있다.

파일이 반드시 한곳에만 저장되지 않는다.

-> 여기저기 분산되어 저장됨.

 

<자기 하드 드라이브의 데이터 저장 방식>

‘섹터’

: 컴퓨터는 섹터라 불리는 정해진 공간에 데이터를 저장한다.

‘클러스터’

: 섹터가 최소한의 저장단위, BUT 컴퓨터 운영체제는 데이터를 클러스터로만 저장.

(** 파일 시스템 부분에서 나온 내용

: 파일 시스템의 임무는 분리된 ‘클러스터’를 관리하여 다음에 파일을 열 때, 다시 재구성하는 것. **)