포렌식 소프트웨어: 컴퓨터 포렌식에 관해 알아야 하는 모든 것

일반인이라면 “컴퓨터 포렌식” 또는 “포렌식 컴퓨팅”을 들어보셨을 겁니다, 이는 즉시 유리 거울을 덮은 어두운 물체의 이미지를 떠오르게 합니다. 하지만 이게 컴퓨터와 디지털 포렌식이 실제로 무엇에 관한 것인지 정확하게 표현한 것일까요? 이 기사에서 곧 정확한 의미를 알게 되실 겁니다.

디지털 법의학

실제 컴퓨터 법의학 전문가가 사용하는 것과 동일한 도구를 해커들이 사용하더라도 디지털 포렌식의 본질은 데이터 복구와 보존에 관한 것입니다. Disk Drill과 같은 컴퓨터 데이터 복구 도구를 사용하여 컴퓨터에서 손실된 파일을 복구한 경우, 포렌식 컴퓨터 과학의 한 측면과 컴퓨터 포렌식 조사관의 삶에 관한 대략적인 아이디어가 이미 있습니다. 이 기사에서, 나머지를 배우실 수 있습니다.

컴퓨터 포렌식 정의

Techopedia는 “전자 데이터 공개 및 해석 과정”으로 컴퓨터 포렌식을 정의합니다. 이 과정의 주요 목표는 “지난 사건을 재구조화하는 것을 목적으로 데이터 정보를 수집, 확인, 입증함으로써 구조화된 조사를 수행하는 동시에 가장 원본인 형식에서 모든 증거를 보존하는 것”입니다.

즉, 디지털 포렌식은 오래된 포렌식 과학의 일부이며, 오래된 범죄 TV 방송과 비슷합니다. 여러분은 범죄 방송이 어떻게 진행되는지 알고 계실 겁니다: 일단 끔찍한 살인이 발생합니다. 사건이 발생하면 경찰은 포드 갤럭시 500을 타고 그의 수석 수사관과 범죄 현장에 도착합니다. 이들이 차에서 내리자마자, 누군가가 “아무것도 만지지 마세요! 증거 수집을 해야 합니다.”라고 말하는 장면이 종종 보입니다.

디지털 법의학

그 당시에, 이와 같은 증거는 종종 누군가의 다이어리 또는 물 잔에 있는 지문이었습니다. 요즘에는 디지털 메타 데이터, 로그 파일, IP 주소, 남겨진 음식물과 같은 것으로도 나타납니다. 최초의 디지털 범죄의 일부는 1970년대 후반과 1980년대 초반에 발생하였습니다. 그당시에, 컴퓨터 보안과 개인정보보호는 소규모의 괴짜와 혁신가만 관심을 가지는 부문이었습니다.

1978년 플로리다 컴퓨터 범죄법이 처음으로 생기면서, 미국에서 최초로 컴퓨터 범죄를 인지하게 되었고 이는 컴퓨터 데이터의 무단 삭제 또는 수정에 관한 법도 포함하였습니다. 이후에도 1986년 미국 연방 컴퓨터 사기 및 남용법과 1990년 영국 컴퓨터 남용법과 같은 기타 법률도 곧 만들어졌습니다.

새로운 시대가 오기 전에, 개인과 기업 및 국가 보안에 심각한 위협이 되는 것으로 인지된 컴퓨터 범죄는 늘 이슈가 되었습니다. 2000년 이후로, 표준화에 대한 새로운 필요성이 제기되었고, 이는 “컴퓨터 포렌식스의 모범 사례” 생산과 디지털 증거 과학 그룹(SWGDE)의 ISO 17025의 출판을 이끌었습니다.
이 기준과 가이드는 컴퓨터 포렌식스 전문가가 모범 사례를 확립하는 것을 도왔으며, 현대 세대의 복잡한 요구사항을 충족할 수 있도록 포렌식스 데이터 복구 소프트웨어를 생산하는 컴퓨터 포렌식스 회사를 일으켜주었습니다.

일반적인 포렌식 과정은 여러 눈에 띄는 단계를 가지고 있습니다: 압수, 포렌식스 수집, 분석, 수집된 데이터에 기초한 보고서의 생산. 특별 무료 포렌식 소프트웨어 도구와 각 단계를 위한 유료 포렌식스 도구가 있습니다. 디지털 포렌식스 도구의 목록은 이 기사에서 나중에 확인하실 수 있습니다.

컴퓨터 법의학의 하위 지사

컴퓨터 포렌식 전문가는 개인 또는 공공 부문을 처리합니다. 공공 부문에서, 이들의 일은 범죄 또는 민사 법원의 가설을 지지하거나 논박하는 것입니다. 민간 법의학 수사에서 가장 중요한 것은 기업 조사와 침입 조사입니다.

현대 기술의 복잡성이 증가하면서, 컴퓨터 포렌식스 전문가들은 종종 하나 이상의 디지털 포렌식스 하위 분야에 집중하여 전문가 수준의 지식을 얻습니다. 디지털 포렌식스는 일반적으로 기기의 유형에 따라 나뉩니다. 주요 지점은 컴퓨터 포렌식스, 모바일 기기 포렌식스, 네트워크 포렌식스, 포렌식스 데이터 분석, 데이터 베이스 포렌식스가 있습니다.

지난 몇 년간 큰 성장을 보인 한 지점은 휴대 전화 기기 포렌식스입니다. 사람들이 노트북과 데스크톱에서 스마트폰 및 태블린으로 대체하면서, 포렌식스 휴대전화 데이터 복구 능력을 갖춘 휴대전화 포렌식스 소프트웨어의 필요성이 극적으로 상승하고 있습니다.

컴퓨터 포렌식스 도구 및 장비

컴퓨터 범죄 수사관과 전문가가 사용하는 컴퓨터 법의학 도구를 설명하기 위해 개인용 컴퓨터에 저장된 아동 포르노와 관련된 범죄 현장을 떠올려 봅시다. 대부분의 경우, 가장 먼저 수사관은 PC의 HDD를 제거하고 하드웨어 쓰기 차단 장치를 부착합니다. 이러한 장치를 사용하면, 조사관이 디스크의 내용을 캡처하고 미리 볼 수 있으며 어떤식으로든 범죄자가 HDD 내용을 변경할 수 없게 됩니다.

법의학 데이터 복구 도구

PROTEGGA는 가장 현대적인 컴퓨터 포렌식 탐지 도구를 사용합니다.

디스크의 비트 정밀 사본은 다양한 특수 도구로 만들 수 있습니다. 무수한 소규모 유틸리티와 함께 대형 디지털 포렌식 프레임 워크와 소프트웨어 솔루션이 있습니다. 전 그룹에는 디지털 포렌식스 프레임워크, 오픈 컴퓨터 포렌식스 아크텍처, CAINE (컴퓨터를 이용한 탐사 보도 환경), X-Ways 포렌식스 , SANS 조사 포렌식스 툴킷 (SIFT), EnCase, Sleuth 키트, Llibforensics, 볼러틸리티, Coroner의 툴킷, Oxygen 포렌식스 스위트, 컴퓨터 온라인 포렌식스 증거 추출기 (COFEE), HELIX3, 캘리브리트UFED를 포함합니다.

이러한 대규모 소프트웨어 솔루션과 포렌식스 스위트는 단일 패키지에 다양한 포렌식 데이터 서비스를 포함합니다. 하지만, 많은 전문 법의학 전문가들은 자신의 필요성과 취향에 맞는 개별 도구와 유틸리티로 자신만의 맞춤형 도구 상자를 만드는 것을 선호합니다. 이러한 옵션은 하드 드라이브 포렌식스 및 파일 시스템 포렌식스 분석을 포함하여, 포렌식스데이터 복구 프로세스의 모든 단계에 풍부하게 있습니다.

데이터 캡처는 EnCase Forensic Imager, FTK Imager, Live RAM Capturer 또는 Microsoft의 Disk2vhd를 사용하여 수행 할 수 있습니다. 이메일은 EDB 뷰어, 메일 뷰어 또는 MBOX 뷰어와 같은 도구로 분석됩니다. 일부 도구는 특정 운영 체제를 대상으로 특별히 제작되었고, 다른 도구는 여러 플랫폼을 지원합니다. Mac OS X에서 가장 많이 사용되는 도구로는 Disk Arbitrator, Volafox 및 ChainBreaker가 있습니다. 이 도구는 키 체인 구조를 구문 분석하고 사용자의 정보를 추출합니다. 말할 것도 없이, 포렌식 분석가는 Busindre의 Dumpzilla, Chrome 세션 파서, IEPassView, OperaPassView 및 Magnet Forensics의 웹 페이지 세이버를 포함하여 상당한 분석 도구 없이는 분석가가 될 수 없습니다.

전문 법의학 도구의 특징

전문 법의학 도구의 특징은 대상 포렌식스 분석의 측면과 목표 시장에 따라 크게 바뀔 수 있습니다. 일반적으로 대규모 법의학 소프트웨어 제품군은 다음을 수행 할 수 있어야 합니다:

  • 비교 필터링을 허용하는 모든 파일의 해싱 지원
  • 데이터가 변경되지 않았음을 확인하기 위한 전체 디스크 해싱 (일반적으로 한 도구는 디스크 해시 획득을 위해 사용되고, 다른 도구는 디스크 해시를 확인하는 데 사용됩니다)
  • 정확한 경로 로케이터
  • 명확한 시간과 날짜 스탬프
  • 인지 기능 반드시 포함
  • 항목 검색 및 필터링
  • iOS 백업 로드 및 데이터 구문 분석

법 집행 기관과 비교해볼 때, 기업은 대개 휘발성 RAM 캡처에 관심이 없습니다. 그들은 사설 조사 및/또는 법 집행 기관으로 넘길 증거를 원합니다. 또한 일반적으로 이들은 미리보는 능력에 관심이 없습니다.

주요 포렌식스 소프트웨어 제공 업체

포렌식스 소프트웨어 분석 분야는 미래 지향적인 혁신가들과 그들의 운영을 확장할 준비가된 기존 소프트웨어 회사들로 가득합니다. 대형 포렌식스 소프트웨어 제공 업체는 하이테크 범죄 수사 협회 회의와 같은 대규모 산업 모임에 나타나는 경향이 있으며, 북미 전역에서 이러한 회의가 많이 있습니다.

최고의 포렌식스 소프트웨어 공급 업체 및 제품에 대해 살펴 보겠습니다.

BlackBag 테크놀로지 https://www.blackbagtech.com

BlackLight 법의학

BlackBag의 BlackLight는 현재 시장에 출시된 초판 Mac 포렌식스 도구이며 약 2,600 달러에 판매됩니다. BlackLight는 5년 전 Mac전용 포렌식스 도구를 개발하기 시작했습니다. 현재는 훌륭한 Windows 검사 도구가 되었습니다. 안드로이드뿐만 아니라 모든 iOS 기기를 분석합니다. 하지만, 블랙베리 단말기는 분석할 수 없습니다. Blacklight가 독자적으로 하지 않는 한 가지는 비트 클론을 위한 포렌식 수집입니다. 그리고 MacQuisition이라는 추가 도구가 있습니다.

MacQuisition는 iOS 10의 차용 버전을 사용하고 있으며, Apple라이센스로 인해 1000 달러 이상을 지불합니다. 이는 암호화를 발견하는 아주 좋은 일을 하며, 퓨전 드라이브를 하나의 볼륨으로 합칠 수 있습니다.

AccessData http://accessdata.com

accessData

AccessData는 기업, 법률 회사 및 정부 기관을 대상으로 E-Discovery, Computer 및 Mobile Device Forensics의 주요 공급 업체입니다. 디지털 포렌식 솔루션은 포렌식 툴킷(FTK)을 포함하며, 포괄적 인 처리 및 인덱싱 기능을 제공하므로 시장의 다른 솔루션보다 필터링 및 검색 속도가 빠릅니다.

이 회사는 Mobile Phone Examiner Plus (MPE+) 및 nFIELD를 포함한 모바일 포렌식 도구로 널리 알려져 있습니다. 전자의 경우, 포렌식스 조사관이 데이터를 신속하게 수집하고 다른 솔루션이 놓친 핵심 데이터를 쉽게 식별할 수 있는 효율성을 가지고 있습니다. 후자는 민첩한 솔루션이며 사용자는 모든 MPE+ 지원 모바일 장치의 논리적이며 물리적 인지를 5단계로 수행할 수 있습니다.

Guidance 소프트웨어https://www.guidancesoftware.com

포렌식 지침

1997년에 설립 된 Guidance Software는 EnCase Forensic Software를 개발했습니다. 이 소프트웨어는 수십 년 동안 법의학의 중심이었던 PC전용 법의학 도구입니다. 이 툴은 2002년 데이비드 웨스터 필드의 살인 사건 공판에서 아동 음란물의 증거를 찾기 위해 컴퓨터 조사에 사용되었으며, 프랑스 경찰이 EnCase를 사용하여 신발 폭탄 테러범(슈 버머)이라고 불린 리처드 콜빈 리드의 중요한 이메일을 발견했을 때 헤드 라인에 실렸습니다.

EnCase 포렌식스 소프트웨어는 인수, 하드 드라이브 복원 (비트 복제 및 복제 HDD 만들기), 포괄적인 디스크 수준 조사 및 광범위한 보고를 수행 할 수 있습니다.

Magnet 포렌식스https://www.magnetforensics.com

자석 법의학

전직 경찰관 및 프로그래머가 개발한 Magnet Forensics는 전 세계 3,000개 이상의 기관 및 조직에서 사용되는 완벽한 디지털 조사 플랫폼입니다. 원래는 인터넷 전용 도구로 시작되었지만 이제는 본격적인 포렌식스 스위트로 확장되었습니다. Magnet Forensics는 휴대 전화의 물리적 데이터 수집을 수행할 수 있습니다(대부분의 안드로이드 및 아이폰 4 이하 및 블랙베리에서 가능). 이러한 물리적 인수는 Cellebrite와 같은 도구에 로드될 수 있습니다.

X-Ways https://www.x-ways.net

X-Way 법의학

X-Ways는 포렌식에 비교적 새롭게 나타났으며, 이 회사는 혁신적인 속도로 인해 빠르게 인기를 얻고 있습니다. 디스크 엔지니어, 디스크 복제, 가상 RAID 재구성, 원격 네트워크 드라이브 분석, 원격 RAM 액세스, 클라우드 스토리지 액세스 등과 관련하여 독일 엔지니어 팀이 개발한 X-Way의 포렌식 도구는 환상적인 업무를 수행합니다. 단점은 사용하는 데 상당한 경험이 필요하다는 것입니다.

Cellebrite http://www.cellebrite.com

Cellebrite 모바일 포렌식 소프트웨어

Japan’s Sun 회사의 자회사인 Cellebrite Mobile Synchronization은 모바일 포렌식 소프트웨어의 선두 주자로 간주되는 이스라엘 회사입니다. 그들의 최고 모바일 도구는 12,000 달러의 매우 높은 가격과 4000달러의 연간 라이센스가 함께 제공됩니다. 높은 가격으로 Cellebrite의 Unified Digital Forensics Platform을 통해 모바일 장치에 대한 깊은 통찰력을 제공하는 일류 서비스를 제공합니다.

CERT

CERT는 컴퓨터 응급 대응팀을 의미합니다. 사이버 공격으로부터 국가의 인터넷 인프라를 보호하기 위해 2003년 미국에 해당 조직이 설립되었습니다. 그들은 CERT Triage Tools를 포함하여 법 집행 기관에서 사용하는 몇 가지 도구를 개발했습니다. Triage Tools는 램을 포착하고 현장 증거를 수집하는 데 사용됩니다. 이 제품에는 “익스플로이테이블”이라 불리는 GNU 디버그 확장 기능이 포함되어 있으며, Linux 응용 프로그램 버그를 심각도별로 분류할 수 있습니다. 현재 CERT Triage Tools는 GitHub에서 공개적으로 개발 중입니다.

Cert Forensics

Disk Drill의 포렌식 데이터 복구

Disk Drill은 전세계 여러 곳의 수많은 사용자가 다양한 저장 장치에서 문서, 이미지, 비디오 파일 및 기타 유형의 데이터를 복구하는 데 사용한 입증 된 데이터 복구 도구입니다.

법의학 데이터 복구

Disk Drill
무료로 데이터 복구
삭제된 파일 복구를 위한 당신의 동반자

Disk Drill의 회사인 CleverFiles은 현재 유용한 포렌식 도구 모음을 포함한 새로운 버전의 소프트웨어를 개발 중입니다. 포렌식 시장에서 곧 나올 이 플레이어는 높은 수준의 사용자 인터페이스와 세련되고 뛰어난 사용 편의성을 특징으로하는 시그네처 사용자 경험을 제공할 것으로 예상됩니다.