컴퓨터 포렌식

컴퓨터 포렌식(Computer forensics, 컴퓨터 법의학)은 디지털 포렌식의 하위 분과 중 하나로 전자적 증거물 등을 사법기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다. 과거에 얻을 수 없었던 증거나 단서들을 제공해 준다는 점에서 획기적인 방법이다. 컴퓨터 포렌식은 사이버 해킹 공격, 사이버 범죄시 범죄자들은 컴퓨터, 이메일, IT 기기, 스마트폰 등의 운영체제, 애플리케이션, 메모리 등에 다양한 전자적 증거를 남기게 되면서, 사이버 범죄자 추적 및 조사에 핵심적인 요소가 되고 있다.

종류

썸네일

썸네일(thumbnail)은 특정 폴더에서 미리보기를 한번이라도 수행할 경우 자동으로 생성된다. 고급 사용자가 아니라면 자신의 행위를 지우기 위해 썸네일 데이터베이스까지 삭제하지는 않을 것이다. “보호된 운영체제 파일 숨기기”를 체크 해제해야 하기 때문이다. 게다가 Vista 이후부터는 중앙집중적으로 썸네일이 저장되기 때문에 폴더를 삭제하더라도 썸네일 정보가 사라지지 않는다.(각 미리보기 옵션에 따라 생성된 썸네일은 해당 폴더의 “Thumbs.db”에 저장되는 것이 아니라 다음의 경로에 크기별로 저장된다. C:\Users\사용자 계정\AppData\Local\Microsoft\Windows\Explorer) 그리고 이동형 저장장치, 네트워크 드라이브, 암호화 기법(PGP Desktop, TrueCrypt, BestCrypt)에서도 썸네일을 생성한다. 단, EFS로 암호화된 파일은 생성하지 못한다. 이처럼 썸네일은 사용자가 고의로 삭제하지 않는 이상 시스템의 과거 및 은닉 정보를 알 수 있는 중요한 정보이다. https://forensic-proof.com/archives/2092

해결 방법 : 윈도우즈 7의 경우 폴더 하나를 열어 놓고 '구성 -> 폴더 및 검색 옵션 -> 보기 -> 숨김 파일, 폴더 및 드라이브 표시'에 체크해야 AppData 같은 숨긴 폴더가 보임. '구성 -> 폴더 및 검색 옵션 -> 보기 -> 아이콘은 항상 표시하고 미리 보기는 표시하지 않음'에 체크하면 썸네일이 더 이상 뜨지 않고, 대신 확장자별로 동일한 아이콘이 뜸. 이렇게 하고서 Unlocker로 C:\Users\사용자 계정\AppData\Local\Microsoft\Windows\Explorer 에 있는 thumbcache_*.db 파일 6개를 하나씩 삭제함.(*은 32, 96, 256, 1024, idx, sr) Users는 폴더상에서는 '사용자'로 보임.

윈도우즈 검색 색인

윈도우즈 검색(Windows Search)은 색인(Indexing)을 사용하여 빠르게 검색할 수 있도록 지원하는 윈도우즈 운영체제의 기능이다. Vista/7으로 넘어오면서 WDS는 운영체제의 기본 기능으로 통합이 되어 버렸다. 윈도우즈 검색에서 기본 색인 대상은 일반 파일을 비롯하여 이메일, 메신저, 웹 히스토리 등의 정보이다. 색인 대상은 “[제어판] => [색인 옵션]“을 통해 사용자가 정의할 수 있다. 검색과 관련한 정보 중에 포렌식적으로 의미있는 정보는 사용자가 검색한 검색어나 색인 정보일 것이다. https://forensic-proof.com/archives/2109

디스크 식별

디스크 시그니처 값은 디스크 포맷 시 생성되는 값으로 저장매체마다 고유하다. 디스크 시그니처를 확인하지 않고 단순히 “HKLM\SYSTEM\ControlSet00X\Enum\{IDE|SCSI}” 하위 키의 디스크 정보만 확인한다면 용의자에게 추가적인 저장매체를 요구했을 때 동일한 제품의 다른 저장매체를 제출해도 올바르지 않다고 판단하기 어려울 것이다. https://forensic-proof.com/archives/2058