디지털 포렌식 실무

PART 1 디지털 포렌식 개론

Chap. 1 디지털 포렌식 3
1. 디지털 포렌식의 정의 3
2. 디지털 포렌식의 이해 4
가. 침해사고 대응 포렌식 5
나. 정보 추출 포렌식 6

Chap. 2 디지털 정보의 이해 7
1. 디지털 정보의 개념 7
가. 디지털 정보의 정의 7
나. 디지털 정보와 유사한 개념 구분 8
2. 디지털 정보의 특성 10
가. 매체 독립성 11
나. 비가시성.비가독성(매체의존성) 11
다. 변조.복제 용이성(취약성) 12
라. 대용량성 12
마. 휘발성 13
바. 전문성 13
사. 초국경성 14
3. 디지털 정보의 분류 14
가. 저장정보와 생성 정보의 구분 15
나. 데이터 상태에 따른 구분 17
다. 데이터 형태에 따른 구분 18
라. 데이터의 휘발성에 따른 구분 19

Chap. 3 디지털 정보의 기본 조건 21
1. 디지털 정보의 진정성 22
2. 디지털 정보의 무결성 24
3. 디지털 정보의 원본성 25
4. 디지털 정보의 신뢰 26

Chap. 4 디지털 포렌식 대상 28
1. 범용 시스템 29
가. 개인용 컴퓨터 29
나. 서버 컴퓨터 30
다. 슈퍼컴퓨터 30
2. 임베디드 시스템 32
가. 가전제품 33
나. 사무용 기기 33
3. 클라우드 저장소 34
4. 분석 대상 분류 34
가. Disk Forensics 34
나. System Forensics 35
다. Network Forensics 35
라. Internet(Web) Forensics 35
마. Mobile Forensics 35
바. Database Forensics 35
사. TrueCrypt Forensics 36
아. Incident Response Forensics 36
자. Internet of Everything Forensics 36

Chap. 5 디지털 포렌식 기본원칙 37
1. 정당성의 원칙 37
가. 위법수집증거배제법칙(형사소송법 제308조의 2) 38
나. 독수독과이론 39
2. 무결성의 원칙 39
3. 재현의 원칙 41
4. 신속성의 원칙 41
5. 연계 보관성의 원칙 41

Chap. 6 디지털 증거 43
1. 디지털 데이터 44
가. 데이터 표현 45
2. 디지털 증거의 특징 48
가. 매체 독립성 48
나. 비가시성.비가독성(매체의존성) 48
다. 변조.복제 용이성(취약성) 49
라. 대용량성 50
마. 휘발성 50
바. 전문성 50
사. 초국경성 51

Chap. 7 디지털 포렌식 법령 52
1. 디지털 증거의 법률적 의의 52
가. 형사소송법에서 증거 법칙 53
나. 전문법칙 54

PART 2 파일 시스템 분석

Chap. 1 파일 시스템 59
1. 파일 시스템의 이해 59
2. 파일 시스템의 기능 61
3. 파일 시스템의 구조 이해 62
가. 주소지정방식(Addressing) 62
나. 클러스터(Cluster) 63
다. 슬랙 공간(Slack Space) 68

Chap. 2 파일 시스템의 종류 71
1. FAT(File Allocation Table) 71
가. 부트 섹터 영역 73
나. FAT32 FSINFO 영역 76
다. FAT 영역 78
라. 데이터 영역 80
2. NTFS(New Technology File System) 81
가. NTFS 구조 82
Chap. 3 파일의 할당.삭제로 인한 변화 96
1. 파일 할당 96
2. 파일 삭제 98

Chap. 4 파일 시스템 분석 100
1. 파일 시스템별 삭제 파일 복구 100
2. 비할당 클러스터 분석 101
3. 슬랙 공간 분석 102
4. 시간 정보 분석 103
5. 부트 코드 분석 104
6. 미사용 영역 분석 105
7. 은닉 파일 분석 106
8. 암호 파일 분석 106
9. ADS 파일 분석 107
10. 로그 정보 분석 107
11. $Boot 파일 분석 107
12. $BadClus 파일 분석 108

Chap. 5 파일 복구 109
1. 파일 시스템의 파일 복구 109
가. FAT 파일 시스템의 파일 복구 110
나. NTFS에서 삭제된 파일 복구 111
2. 파일 카빙 113
가. 시그니처 기반 카빙 114
나. 램 슬랙 카빙 115
다. 파일 구조체 카빙 115

PART 3 디지털 포렌식 실무

Chap. 1 디지털 증거 압수.수색.검증영장 신청 121
1. 압수와 수색 그리고 검증 121
가. 압수.수색.검증의 정의 121
나. 압수.수색의 목적물 123
다. 압수.수색의 절차 123
2. 영장주의 원칙과 예외 124
3. 디지털 저장 매체 압수.수색.검증영장 신청 126
가. 디지털 증거의 이해 126
나. 디지털 증거법 관련 판례 이해 127
다. 디지털 증거 압수범위 및 한계 132
라. 영장신청서 작성방법 135

Chap. 2 압수.수색.검증영장 집행 137
1. 영장 집행을 위한 준비물 점검 137
2. 인권침해 방지를 위한 사전 교육 139
3. 영장 집행에 의한 증거수집 139
가. 준비단계 139
나. 수집 단계 145
다. 정리 단계 149
4. 임의제출에 의한 증거수집 150
가. 임의제출 상황 150
나. 임의제출한 디지털 증거의 압수방법 제한 152
5. 증거분석 153
가. 디지털 증거분석관의 자격 요건 153
나. 증거분석 준비 154
Chap. 3 증거분석 157
1. DFAS PRO 시작하기 157
가. 언어 및 타임존 설정 157
나. 분석 결과 표시 설정(해제 방법) 158
다. 확장자 추가 159
라. 메모리 캡처 159
마. 버전 정보 확인 160
2. 케이스 생성 160
가. 케이스 생성(빠른 설정) 160
나. 케이스 생성 공통(네트워크 드라이브) 161
다. 케이스 생성 공통(BitLocker USB) 161
라. 케이스 생성(사용자 설정) 162
마. 케이스 생성(디스크 설정) 163
바. 케이스 생성(수집 설정) 163
사. 케이스 생성(파일.메일 분석) 164
아. 케이스 생성(개인정보) 164
자. 케이스 생성(파일 정밀 분석) 165
3. 케이스 관리 166
가. 케이스 관리(내보내기 1) 166
나. 케이스 관리(내보내기 2) 166
다. 케이스 관리(불러오기 1) 167
라. 케이스 관리(불러오기 2) 168
마. 케이스 관리(삭제하기) 168
4. 케이스 부가 기능 169
가. 이미지 생성 169
나. 파일 검색 1 169
다. 파일 검색 2 170
5. 파일 보기 기능 171
가. 파일 보기 형식(내용) 171
나. 파일 보기 형식(Hex) 171
다. 파일 보기 형식(Pic) 172
라. 파일 보기 형식(원본 형식) 173
마. Thumbnails 173
바. 타임바 설정 174
사. 화면 캡처 175
6. 파일 선택 기능 175
가. 홈플레이트 선택 175
나. 연속된 파일 선택 176
다. 각각의 파일 선택 방법 177
라. 필드값 복사 177
마. 상세 정보값 복사 178
바. 항목 검색(탐색기, 문서유형) 178
사. 항목검색(분석결과) 179
아. 분석설정 180
7. 파일 저장 기능 180
가. 엑셀저장(csv 확장자) 180
나. 파일 내보내기 181
다. 일괄 내보내기 182
라. 증거물 등록(1) 182
마. 증거물 등록(2) 183
바. 증거물 내보내기 183
사. 증거물 이력 184
8. 파일 분석 기능 185
가. 파일 분석(1) 185
나. 파일 분석(2) 185
다. 메일 분석(1) 186
라. 메일 분석(2) 187
마. OCR 분석(1) 187
바. OCR 분석(2) 188
사. 해시셋 내보내기(1) 189
아. 해시셋 내보내기(2) 189
자. 해시셋 분석(1) 190
차. 해시셋 분석(2) 190
카. Virus Total 191
9. 북마크와 보고서 작성 191
가. 북마크 등록(탐색기&문서유형) 191
나. 북마크 확인(탐색기&문서유형) 192
다. 북마크 등록(분석결과) 193
마. 북마크 확인(분석결과) 193
마. 북마크 등록(내용) 194
바. 북마크 등록(Hex) 194
사. 북마크 등록(Pic) 195
아. 보고서 작성(1) 195
자. 보고서 작성(2) 196
10. 심화 분석 기능 197
가. 볼륨 새도우 카피 분석 197
나. 파일 정밀 분석(1) 197
다. 파일 정밀 분석(2) 198
라. 비할당영역 복구 199
11. 분석 결과 기능 199
가. 타임라인(리스트) 199
나. 자격증명 관리자(1) 200
다. 자격증명 관리자(2) 201
라. 시스템 이벤트 로그 201
마. 블랙리스트 202
바. 그래프 선택 기능 202
사. 파일 경로 확인 203
아. 파일 경로 이동 203
자. 웹에서 보기 204
차. Go to Webpage 205
카. 타임라인(1) 205
타. 타임라인(2) 206

찾아보기 207