본문 바로가기
SWUFORCE/Inflearn

[인프런 스터디] 4주차 - 디지털 증거 획득 & 증거 수집 방안

zwhyee 2026. 5. 5. 18:17

증거 획득

 

증거 획득 방식

 

저장매체 복사

  • 원본 읽기 → 사본 쓰기
  • 장점
     - 비교적 손쉬운 방법으로 증거 수집 가능
     - 필요한 데이터만 빠르게 수집 가능 → 신속한 분석
     - 활성 시스템(시스템 전원을 내릴 수 없는 경우)에서 유용하게 활용
  • 단점
     - 활성 시스템의 무결성 훼손 > 무결성 훼손을 최소화하는 방안이 필요 (fcopy)
     - 파일과 디렉터리 단위의 정보만 획득 (일반적인 복사 작업)
     - 삭제된 파일이나 은닉된 데이터를 확인하기 어려움

 

 

 

 

저장매체 복제

  • 원본의 모든 물리적 섹터 사본 저장매체
  • 비트스트림 복제
  • 장점
     - 무결성 유지
     - 원본의 모든 정보를 획득 → 삭제된 파일 복구 가능
  • 단점
     - 원본보다 크거나 동일한 사본 저장매체가 필요 → 사본 저장매체의 낭비
     - 사본 저장매체(기기) 특성에 종속 (저장매체 오류 및 물리적 배드섹터)
     - 복제 전 사본 저장매체의 완전삭제(wiping)가 필요

 

 

 

 

저장매체 이미징

  • 원본의 모든 물리적 섹터 → 이미지 파일
  • 비트스트림 이미징
  • 장점
     - 무결성 유지
     - 원본의 모든 정보를 획득 > 삭제된 파일 복구 가능
     - 사본 저장매체의 완전 삭제(wiping)가 필요 없음
     - 쉽게 저장매체 이미지를 복사 가능 (여러 명이 작업할 경우)
     - 사본 이미지를 저장할 저장매체의 용량 제약이 없음 (압축 사용 가능)
  • 단점
     - 2TB 원본 저장매체의 이미지를 압축 없이 이미징 하려면 2TB보다 큰 저장매체 필요

 

 

 

 

저장매체 이미지 종류

  • RAW(dd) 이미지
    • 원본 저장매체의 비트스트림 이미지
    • 이미지 파일 자체의 무결성 훼손 우려
    • dd, dc3dd, dcfldd
  • E01(Ex01) 이미지
    • EnCase에서 지원하는 이미지 파일
    • CRC, MD5를 이용하여 이미지 파일의 무결성 유지
    • EnCase, FTK Imager, Tableau Imager
  • AFF, SMART, IDIF, IRBF, IEIF, ProDiscover IF, SDi32's Format

 

 

 

저장매체 이미지 포맷

  • E01 이미지

 

 

  • E01 vs Ex01
구분 E01 Ex01
압축 방식 DEFLATE BZIP2
해쉬 알고리즘 MD5, SHA1 MD5, SHA1
보안기능 Password AES256

 

 

 

 

 

 

 

 

증거 획득 장비

 

Rapid Image 7020CS

  • 한화 약 2천만원 ($11,500)
  • 기능
    • 속도: 6GB/Min (100 MBps)
    • 지원 인터페이스: SAS/SATA/IDE* (* optional)
    • 운영체제: Windows Embedded Standard 7
    • 추가 기능
       - HPA/DCO 지원
       - CRC32, MD5, SHA-1, SHA-2 지원
       - 저장매체 복제, 이미징(RAW, E01) 지원
       - 저장매체 완전 삭제 가능

Rapid Image 7020CS

 

 

 

 

SOLO 4 Forensic Super Kit (Expansion Box + SCSI to SCSI Card)

  • 한화 약 1천만원 ($ 5,500)
  • 기능
    • 속도: 6GB/Min
    • 지원 인터페이스: SATA/SAS(SATA2 speed), USB
    • 운영체제: Windows Embedded Standard 7
    • 추가 기능
       - SHA-1, SHA-2, MD5 지원
       - IDE, RAID, e-SATA, SD Card, CF Card 등 지원(컨버터), SCSI(Expansion Box) 등 지원
       - 저장매체 복제, 이미징(RAW, E01) 지원
       - 저장매체 완전 삭제 기능
       - 네트워크 스토리지(SAN)에 업로드 기능 
       - 각각의 원본(source) 마다 동시 1개의 사본 생성 가능
       - 원본 하나 당 최대 3개 사본 동시 생성 가능
       - 2개 이상은 쓰기 방지 설정 해제가 필요하므로 비추천

SOLO 4 Forensic Super Kit

 

 

 

 

Super Tableau Kit

  • 한화 약 350만원
  • 키트 구성
    • 1 x T35es S-ATA bridge
    • 1 x T4 SCSI bridge
    • 1 x T8 USB bridge
    • 2 x TP2 power supplies with power lead
    • 2 x Portable Hard Drive Coolers
    • FireWire 9 to 9, 9 to 6, 6 to 6 and 6 to 4 cables
    • 2 x USB cables
    • 1 x SCSI 68 pin to 50 pin and SCA adaptor
    • 1 x TAbleau 2.5" Adaptor
    • 1 x Tableau 1.8" Adaptor
    • 1 x Tableau ZIF Adaptor
    • 1 x Tableau Utilities disk
    • 1 x Addonics Write Protected Smart Card Read

 

 

 

 

 

PRO'S Electronics Master Kit - Briefcase Style

  • 한화 약 70만원 ($ 240)

PRO'S Electronics Master Kit

 

 

 

 

 

 

 

 

증거 획득 도구

 

FTK Imager

  • 지원 파일 형식: RAW/DD, SMART, EnCase E01, AFF
  • 파일 크기: User-defined
  • AD Encription
     - SHA-512
     - AES 128, 192, 256
     - Key materials (for AES): pass phrases, raw key files, certificate

 

 

 

Tableau Imager (with Tavleau write-blockers)

  • 지원 파일 형식: RAW/DD, EnCase E01, DMG
  • 파일 크기: 700MB, 1G, 2G, 4G, Unlimited
  • 에러 복구: Quick Recovery, Complete Recovery
  • 해쉬 지원: MD5, SHA-1, MD5+SHA1

 

 

 

그 밖에 도구들

  • EnCase (Linen), DD (FAU DD)

 

 

 

저장매체 인터페이스 속도

 

 

 

 

 

 

 

 

 

디지털 증거 수집 방안

온라인 수집

  • 온라인이란? 시스템 전원이 켜져 있는 상태
  • 온라인 수집 데이터: 라이브 데이터, 저장장치 복사, 저장장치 이미징

 

 

1. 라이브 데이터

  • 시스템 전원이 켜져 있는 상태에서 수집할 수 있는 데이터
  • 휘발성 데이터인 메모리 데이터와 비활성 주요 데이터 포함
  • 이벤트의 원인을 가장 잘 알려줄 수 있는 데이터
  • 라이브 데이터와 증거 능력
    • 엄격한 사건의 경우 증거 능력의 논란이 있음
    •  증거 능력을 갖추기 위한 절차나 연구가 부족한 상황
  • 침해 사고와 라이브 데이터
    • 침해사고는 라이브 데이터를 최대한 활용
    •  분석에 도움이 되는 정보는 최대한 수집
  • 라이브 데이터 대상
    • 물리 메모리
    • 활성 데이터
       - 네트워크 정보, 프로세스 정보, 사용자 로그온 정보, 시스템 정보 등
    • 비활성 주요 데이터 (포렌식 분석의 80% 이상 수행)
       - 파일시스템 메타 데이터, 레지스트리, 프리패치, 이벤트 로그, 웹 브라우저 메타 데이터 등
      • 수집 시 고려 사항
        1) 수집 효율을 위해 라이브 데이터 수집 스크립트에 포함
        2) 커맨드라인 명령으로 수집 가능해야
        3) 운영체제가 점유하고 있는 파일의 수집 방안 마련
        4) 수집 시간 고려
        5) 조사관에서 수집 여부 옵션 제공
    • 네트워크 패킷
  • 라이브 데이터 수집 시 고려 사항
    • 시스템 흔적이 최소한으로 남게 시스템 스크립트나 커맨드라인 명령 사용
       - 윈도우 > 배치 스크립트
       - 리눅스/유닉스 > 셸 스크립트
    • 수집 대상 시스템의 명령을 사용하지 않고 직접 준비해간 명령 사용 > 사전 준비 필요
    • 중복체크가 가능하도록 명령 중복 실행
    • 스크립트 동작 과정에 대한 로그 수집
    • 다양한 환경에서 명령 혹은 모듈 안전성의 반복적인 테스트
    • 휘발성 민감도(OOV, Order Of Volatility)를 반영한 수집

휘발성 민감도 (OOV)

 

 

 

 

수집 순서

 

 

 

 

 

FPLinve_win.bat

: 메모리 덤프, 비휘발성 데이터, 패킷을 포함한 윈도우 실시간 데이터를 수집하는 스크립트

 

  • FPLive_win.bat - NETWORK INFORMATION

 

 

  • FPLinve_win.bat - PROCESS INFORMATION

 

 

  • FPLinve_win.bat - LOGON USER INFORMATION

 

 

  • FPLinve_win.bat - SYSTEM INFORMATION

 

 

  • FPLinve_win.bat - NETWORK INTERFACE INFORNATION

 

 

  • FPLinve_win.bat - MISCs

 

 

  • FPLinve_win.bat - PHYSICAL MEMORY

 

 

  • FPLinve_win.bat - NON-VOLATILE DATA

 

 

  • FPLinve_win.bat - NETWORK PACKETs

 

 

 

 

[실습] FPLive_win.bat 을 이용해 윈도우 라이브 데이터 수집하기

  1) 대상 윈도우 시스템의 버전 확인 후, 해당 버전 폴더의 cmd.exe 실행

  2) setenv.bat 실행하여 환경 변수 변경

  3) FPLive_win.bat 실행

 

  • Case 1 - FPLive_win.bat으로 침해 시스템에서 수집한 라이브 데이터 분석하기
    1. 감염 시스템의 운영체제는?
    2. 악성 프로세스의 이름과 PID
    3. 악성 프로세스를 실행시킨 사용자는?
    4. 악성 프로세스가 언제 실행되었는지
    5. 악성 프로세스가 열고 있는 파일은 몇 개인지
    6. 악성 프로세스가 작업 스케줄러에 등록한 작업은 몇 개인지
    7. 드롭퍼(최초 실행된 악성코드)는 시스템의 어디에 위치하고 있는지
    8. 자동 실행 위치에 등록된 악성코드는? (전체 경로)
    9. 드롭퍼가 생성한 것으로 보이는 악성코드 모두 나열 (전체 경로)

 

 

 

 

 

 

 

 

2. 저장장치 복사

  • 압수수색 대상이 특정 폴더나 파일로 제한될 경우
    • 라이브 상태에서 특정 시간 대역이나 사용자 행위를 중심으로 파일 검색 후 추출
    • 라이브 상태에서 특정 키워드를 기준으로 검색 후 추출
  • 저장장치 이미징이 불가능하거나 빠른 분석이 필요한 경우
    • 라이브 상태에서 주요 분석 데이터 수집
    • 리눅스 시스템의 경우 /var/log 폴더
    • 윈도우 시스템의 경우
       - 웹 브라우저 데이터, 이메일 스토리지 파일, 볼륨 섀도 복사본 수집 등
  • 복사 도구
    • Microsoft - ROBOCOPY, XCOPY, RichCopy
    • Forensic proof - FORECOPY
    • Autoit - GImageX

 

 

 

ROBOCOPY (Robust File Copy)

* 더보기

 

  • 복사 주요 옵션
    • /S - 비어 있는 디렉터리 제외, 하위 디렉터리 복사
    • /E - 비어 있는 디렉터리 포함, 하위 디렉터리를 복사
    • /MIR - 디렉터리 트리를 미러링
    • /COPY:FLAG - 파일 정보를 복사 (기본값은 /COPY:DAT)
    • /COPYALL - 모든 파일 정보를 복사 (COPY:DATSOU)
    • D = 데이터, A = 특성, T = 타임스탬프, S = 보안 = NTFS ACL, O = 소유자, U = 감사 정보
  • 파일 선택 주요 옵션
    • /IA:[RASHCNETO] - 지정된 특성을 가진 파일만 포함
    • /MAXAGE:yyyymmdd - yyyymmdd 보다 최신 파일만 복사
    • /MINAGE:yyyymmdd - yyyymmdd 보다 이전 파일만 복사
    • /XJ - 연결지점(junction) 제외 (일반적으로 기본값)
  • 다시 시도 주요 옵션
    • /R:n - 실패한 복사본 다시 시도 횟수 (기본값 백만번)
    • /W:n - 다시 시도 대기 시간 (기본값 30초)
  • 로깅 주요 옵션
    • /TS - 출력에 원본 파일 타임스탬프 포함
    • /FP - 출력에 파일의 전체 경로 이름 포함
    • /ETA - 복사하는 파일의 예상 도착시간 표시
    • /TEE - 로그 파일과 콘솔 창에 출력
    • /LOG:FILE - 상태를 로그 파일에 출력 (기존 파일 덮어씀)

 

더보기

ROBOCOPY 예제

 

 

 

 

 

 

 

 

 

3. 저장장치 이미징

  • 컴퓨터 전원을 끌 수 없는 경우 라이브 상태에서 저장장치 이미징
  • 논리적인 구성(RAID, LVM 등)의 경우에도 라이브 저장장치 이미징 수행
  • 주로 소프트웨어를 사용해 이미징
  • 로컬 이미징
    • 로컬에 직접 연결하여 이미징 수행
    • 여분의 저장장치 슬롯을 이용하거나 외부 인터페이스 이용
    • 도구: FTK Imager - AccessData, Tableau Imager - Guidance Software, EnCase Forensic Imager
  • 원격 이미징
    • 네트워크 케이블을 이용해 이미징 수행
    • 여분의 네트워크 포트를 이용하거나 서비스 포트를 이용
    • 서비스 가용성을 고려하여 여유 시간대나 트래픽을 제한하여 이미징
    • 도구: F-REsponse Series - F-Response, DD(Disk Dumper) + NetCat

 

 

 

 

 

 

 

 

오프라인 수집

(글 초반의 증거 획득 방식과 동일)

  • 오프라인이란? 시스템 전원이 꺼져 있는 상태
  • 수집 데이터: 저장장치 복사·복제·이미징
  • 수집 도구 
    • 무결성 유지가 필요없다면
       - 쓰기 방지 장치 없이 이미징 소프트웨어를 이용해 이미징
       - 저렴한 저장장치 하드웨어 복제 도구를 이용해 복제
    • 무결성 유지가 필요하다면
       - 쓰기 방지 장치 하에서 이미징 소프트웨어를 이용해 이미징
       - 쓰기 방지 기능이 내장된 포렌식 하드웨어를 이용해 이미징
    • 전문 장비 사용의 이점
       - 법적 소송을 대비해 저장물을 관리할 경우
       - 복제 및 이미징 과정에서 대상 장치의 오류나 손상 가능성 최소화
       - 압축, 암호화 기능을 통해 보관의 효율성과 기밀성을 높일 수 있음

 

 

 

 

'SWUFORCE > Inflearn' 카테고리의 다른 글

[인프런 스터디] 5주차 - Windows Registry  (0) 2026.05.12
[인프런 스터디] 5주차 - 레지스트리 포렌식과 보안  (0) 2026.05.12
[인프런 스터디] 3주차 - 섹션 2, 3  (0) 2026.04.29
[인프런 스터디] 3주차 - 메모리 포렌식  (0) 2026.04.28
[인프런 스터디] 2주차 - 부팅과 데이터 저장/전송 & 부팅 절차  (0) 2026.03.31

'SWUFORCE/Inflearn' Related Articles

티스토리툴바