디지털 포렌식 도구
하드웨어 장비
디스크 이미지 장비
- 디스크 이미징이나 복제 수행
- 수집 현장에서 하드디스크나 SSD를 발견할 경우 이러한 이미지 장비들에 연결해 복제본 획득
- 대표적인 디지털 포렌식 이미지 장비인 Logicube 사의 Falcon 장비
- USB 3.0, SATA 케이블 연결 단자, PCle 연결 단자 존재
- Falcon 화면을 통해 디스크 이미징, 디스크 복제 중 동작을 선택 가능.
- 디스크 이미징을 수행하면 디스크 이미지 파일로 생성되며, 디스크 복제는 원본 디지털 저장매체와 동일한 데이터를 저장하는 복사본 저장매체를 생성
쓰기 방지 장치(Write-Blocker)
- 하드디스크와 같은 저장 매체에 접속해 데이터를 살펴볼 때 데이터 쓰기를 방지해 불필요한 변조를 막아주는 장비
- 저장 장치의 데이터는 단순 컴퓨터 부팅만으로도 내용이 변하기 때문에, 해시값이 달라져 증거로 사용하기 어려워질 수 있음
- 따라서 쓰기 방지 장치를 연결하여 불필요한 변조를 방지해야 함
패러데이(Faraday)
- 디지털 장치의 전자기파를 차단하여 외부와의 통신을 차단
- 불필요한 무선 통신으로 인해 데이터 변조를 막음
소프트웨어 도구
비휘발성 데이터 수집 및 분석 도구
FTK Imager
- 비휘발성 데이터 수집 및 분석 도구
KAPE(Kroll Artifact Parser And Extractor)
- Eric Zimmerman의 도구를 이용해 데이터 수집부터 분석까지 한 번에 수행할 수 있는 통합 플랫폼
자주 사용하는 데이터의 종류와 분석 방법을 미리 지정해두면, 빠른 속도로 반복적인 작업 대체 가능
휘발성 데이터 수집 및 분석 도구
DumpIt, WinPmem
- CLI 기반의 도구 선호, 메모리 수집 도구
Volatility
- 수집한 메모리 덤프를 분석하기 위해 많이 사용
- 메모리 덤프 내에서 프로세스 정보를 분석하고, 프로세스와 연관된 파일들을 추출할 수 있는 도구
통합 포렌식 도구 Magnet AXIOM
- 한 번에 많은 작업 수행
- 반복적인 작업들 단순 처리 가능
- 분석 시간이 오래 걸리고 자동 분석만으로는 온전히 사건을 해석하기 어려움
파일시스템
파티션과 볼륨
- 파티션 : 저장 장치 내의 공간을 분리해 독립적인 공간을 만든 것
- 볼륨 : 하나의 저장 공간, 파일 시스템을 갖춘 저장 공간, (==드라이브)
파일시스템
- 파일시스템 : 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식
| 운영체제 | 파일시스템 | 특징 |
|---|---|---|
| Windows | NTFS | Windows NT 3.1 이후부터 현재까지 사용하고 있는 파일시스템 |
| ReFS | NTFS를 대체하기 위한 차세대 파일시스템 | |
| Linux | EXT4 | Linux에서 2006년부터 사용하고 있는 파일시스템 |
| Unix | UFS | Unix 계열 운영체제에서 사용하는 파일시스템 |
| macOS | HFS+ | Apple 구형 파일시스템 |
| APFS | Apple 신형 파일시스템 | |
| 공통 | FAT/FAT32 | 초기 Windows에 사용되었으나 현재는 USB 등에 주로 사용됨 |
| exFAT | FAT32의 크기 단점을 개선하는 파일시스템 |
NTFS(New Technology File System)
- 파일 및 폴더 암호화 기능, 저널링 기능, 손상된 파일 복구 기능 등
ReFS(Resilient File System)
- 현재 기본으로 생성되는 파일시스템은 아니지만, Windows 8.1 이후부터 ReFS 파티션 생성 가능
- 파일 무결성 검사, 데이터 복구 기능 제공 등
EXT4(Extended File System 4)
- EXT 파일시스템 중 가장 최신 버전의 파일시스템.
- Extent 방식으로 바꾸면서 더 많은 파일을 더 빠르게 접근 가능해짐. 최대 볼륨 크기와 최대 파일 크기를 확장했으며, 하위 버전에 대한 하위 호환성 지원
FAT32(File Allocation Table)
- FAT은 Microsoft에서 개발해 MS-DOS부터 이용되던 파일시스템으로, FAT 기반인 FAT32는 Windows 95부터 이용 가능.
- FAT32는 최대 파티션 크기, 최대 파일 크기가 이전 파일시스템에 비해 향상.
- 자료 구조가 단순, 데이터 복구 기능을 지원해주지 않음
- 다양한 운영체제에서 지원되어 호환성이 뛰어남
파일 시스템과 디지털 포렌식
-
파일 시스템을 알아야 디스크 이미지의 분석이 가능함
파일 카빙 (File Carving)
파일 시그니처와 같은 파일의 구조적인 특징을 이용해 파일시스템 메타데이터 없이 원본 파일을 복원할 수 있는 기법 -
데이터의 위치를 알아냈다고 해도, 메타데이터를 알아내기 위해서는 파일시스템 구조 이해가 필요함
메타데이터들은 파일의 데이터와 별도의 위치에 저장되기 때문. -
파일의 변경 이력을 가져오거나 삭제된 파일을 복구하는 일이 가능해짐
대부분의 파일시스템에서는 저널링 기능을 지원함.
저널링 기능이란, 시스템 충돌이나 정전을 대비해 데이터 쓰기 전후 상태를 기록하는 파일시스템의 기능으로, 이 과정에서 OS는 많은 로그를 생성하는데 이는 주 분석 대상이 됨.
MBR과 VBR
- 볼륨의 가장 기본을 이루는 구조
- 컴퓨터의 부팅 과정에서 사용되는 데이터
- 컴퓨터 메인보드의 BIOS가 POST(Power On Self-Test)과정과 기본적인 하드웨어 점검을 마치고 나면, MBR 내에 있는 부트 코드를 호출
MBR(Master Boot Record)
-
디스크(저장 장치)의 가장 첫 섹터에 저장되는 데이터 의미
- 섹터 : 디스크의 최소 기억 단위, 전통적인 하드디스크에서 512바이트 크기
- MBR이란, 단순히 디스크 가장 처음 512 바이트 영역에 저장되는 데이터 지칭
-
저장 장치의 파티션 정보, 각 파티션에 설치된 볼륨의 정보를 가짐
VBR(Volume Boot Record)
-
볼륨의 가장 첫 섹터에 저장되는 데이터
- 하나 이상의 섹터로 구성, 크기는 파일시스템과 클러스터 크기에 따라 달라질 수 있음
-
구조는 파일시스템마다 전부 다르기 때문에 파일시스템 각각의 VBR 구조에 대해 공부해야 함
Whatever I want | Interested in DFIR, Security, Infra, Cloud