'디지털포렌식' 태그의 글 목록

본문 바로가기

디지털포렌식

디지털증거① 전문증거란?원진술(원진술자) -> 매개체(전문증거) -> 법원(증거능력 판단)[사람이 경험적 사실에 관하여 법정 외에서 행한 진술]이 [진실임을 입증하기 위하여 법원에 제출]하는 증거를 말함전문증거의 종류제3자가 원진술자의 법정외 진술을 법정에서 증언증거서류 : 진술자 자신의 법정외 진술을 서류화(진술서,조서 - 매개체)증거서류 : 제3자가 원진술자의 법정외 진술을 서류화(녹취서,메모 - 매개체)자신의 법정외 진술 사실을 법정에서 자신이 인정(자신 - 매개체)자신의 종전 진술을 법정외에서 녹음 또는 녹화(매개체)타인의 종전 진술을 법정외에서 녹음 또는 녹화(매개체) 전문증거 배제원칙전문증거의 증거능력 배제근거원진술자의 잘못된 기억애매하거나 이해하기 어려운 원진술자의 표현을 잘못 해석할 가능성원진술자의 진.. 더보기

Registry Shellbag Windows OS 분석 시 레지스트리 쉘백은 중요한 아티팩트이다그 이유는, 쉘백의 생성원리를 보면 알 수 있음 쉘백은 최초로 폴더를 열람 시 생성된다폴더를 생성하거나 복사하는 경우에도 생성되긴 하나, 그렇지 않은 경우도 있다. 레지스트리 쉘백은 Bags와 BagMRU 두 종류가 있다.경로는 다음과 같음 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagsHKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU HKCU\Software\Microsoft\Windows\Shell\BagsHKCU\Software\Microsoft\Windows\Sh.. 더보기

시간변경 이벤트로그 흔적 윈도우 OS 상에서 시간을 변경하는 방법은 작업표시줄 시간 클릭해서 변경하거나 Date명령어를 사용하면 된다. 이런 방식으로 의도적으로 시간 변경을 한 사실을 조사하는 방법은1. 폴더들의 시간정보로 유추2. 이벤트 로그 크게 두 개가 되겠다.이벤트 로그는 확실한 방법이지만 설정에 따라 남아있지 않을 수도 있고, 이벤트 로그 최대 크기가 제한되어 있으므로 이전의 데이터가 남아있지 않는 경우도 있다. 어찌됐든, 이벤트 뷰어를 실행한 후 (eventvwr.msc) security log - XP 이하 : 520번- Vista 후 : 4616번에 남는다. system log에도 남는데, VISTA 이 후에는 6013번으로 확인할 수 있었다. 반면 XP에서는 정확한 이벤트 ID를 특정짓지는 못했으나 로그 순서로 .. 더보기

영장주의와 행정조사, 그리고 디지털 포렌식 영장주의란??과거 군사정권 시절 영장주의가 무시됐었다는 말을 들은 적이 있다. 당시에는 그런가보다 하고 넘어갔는데 이번엔 제대로 알아보고자 한다.형사절차에 있어서 강제처분을 함에는 원칙적으로 법관의 영장을 필요로 하는데 이를 '영장주의'라고 한다. 수사기관이 법관에 의한 구체적 판단을 전혀 거치지 않고서 임의로 피의자에 대한 구속 등 강제처분을 막기 위한, 국민의 기본권을 지키는 방패이다. 헌법 제12조 3항체포·구속·압수 또는 수색을 할 때에는 적법한 절차에 따라 검사의 신청에 의하여 법관이 발부한 영장을 제시하여야 한다. 다만, 현행범인인 경우와 장기 3년 이상의 형에 해당되는 죄를 범하고 도피 또는 증거인멸의 염려가 있을 때에는 사후에 영장을 청구할 수 있다. 다시말해, 영장주의는 강제수사의 남용을.. 더보기

완전삭제검증 디지털 포렌식의 기술적 측면에서 삭제된 파일의 복구는 수사의 실마리 혹은 알리바이의 증명이 될 수 있어 그 중요성은 학자, 전문가, 수사관. 업계 등 관련 분야의 많은 이들을 통해 강조된다. 반면 '특정 파일의 내용이 저장매체에 완전하게 삭제된 것이 확실한가?(완전삭제검증)'에 대해서는 그 중요성에도 불구하고 상대적으로 많은 고민을 하고 있지 않다. 기술 이전, 저작권 등 사람이 관련 문서, 파일, 프로그램 등을 넘길 때, 완전하게 넘겼는가 (예로 들면 집을 전세로 넘겨줄 때, 전 주인이 열쇠를 복사하고 갖고 있지는 않은가) 에 대한 검증이다. 은닉과 같은 의도적으로 파일을 숨기든 관리의 소홀함으로 비할당영역에 파일이 남아있든, 계약상·규정상 지워져야할 내용이 남아있다면 조직에 치명적인 타격을 줄 수 있.. 더보기

Windows XP 설치시간 윈도우에서 OS의 설치시간은 레지스트리 분석을 통해 확인할 수 있다.기본 시스템 정보가 저장된 레지스트리 경로는 다음과 같다.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion운영체제 이름, 사용자 이름, 조직 이름, 세부 버전, 운영체제 설치 날짜 (유닉스 32bit Big Endian), 운영체제 설치 루트 폴더 등의 정보가 있다.그런데 케이스 분석 도중 NTFS에서 지원하는 주요 MFT Entry의 생성 시간이 운영체제 설치 시간보다 수 시간 정도 늦다는 것을 확인했다. 운영체제 설치 시간인 2013년 8월 25이 18:12:39 (실제 설치한 시간은 이 시간이었음)인 반면 $MFT와 같은 NTFS 주요 파일들의 생성, 수정, 접근 시간은 2013년 8월 26일.. 더보기

이전 1 다음

티스토리툴바