Architecture

전체 시스템에 관한 Architecture 입니다.

하드웨어에 저장 되어 있는 데이터를 추출하여

사용자 정보, 시스템 정보 , 하드웨어 정보 등을 얻어온 뒤

이 정보들을 보기쉽게 나열해 주며 유용한 정보를 모아서

사용자 분석을 해주는 시스템입니다.

윈도우 XP 운영체제에서 닷넷 프레임워크 3.5 C# 으로 제작이 됩니다.


디지털 포렌식 정보수사 과정은 아래와 같이 4가지로 이루어 집니다.

1. Assessment(평가)
2. Acquisition(수집)
3. Investigation(조사)
4. Document(문서화 및 보고)

이 수사과정에 따라 표를 만들어 보았으며,

데이터를 수집시에 무결성, 저장 매체 이미징 기술, 정보 수집 기술을 바탕으로
 
데이터를 수집해 와야 합니다.


수집한 데이터를 바탕으로 복구기술을 거쳐, 필요한 정보들을 뽑아내어

Registry Hive , Web Log, System Log 의 분류에 따라 데이터를

분류하여 분석해 줍니다.

그리고 이 3 카테고리의 분석된 자료들을 통합하여 보고서를 작성합니다.

레지스트리에 관한 정보는 사용자 계정, 컴퓨터의 하드웨어 및 어플리케이션에 대한

설정 정보를 계층적으로 데이터베이스화 되어 있습니다.


하지만 컴퓨터가 종료된 시점에서 레지스트리 정보를 얻어내기란 쉽지 않는데

그 이유는 레지스트리에 관련된 파일(Hive File)들을 직접 분석해야 하기 때문입니다.


위의 그림과 같이 레지스트리와 관련된 레지스트리 하이브 파일들을 추출하는 과정이며,
 
분석을 통하여 실제 레지스트리와 유사한 Tree 구조를 만들어 줍니다.

그리고 레지스트리 구조만 보여주는 것만이 아닌,

레지스트리 안의 세부적인 정보를 쉽게 알 수 있도록

Registry Viewer 도 제공됩니다.

웹 브라우저에 관련된 생성 파일들은

사용자의 흔적 및 패턴을 찾기 위한 매우 중요한 자료들입니다.

하지만 웹 브라우저 생성 파일에는 많은 데이터가 존재하기 때문에

용의자의 행위를 규명하는데 쉽지가 않습니다.


위의 PPT 에서는 사용자가 가장 많이 사용하는

웹사이트( Internet explorer, FireFox , Chrome )에서

각각의 로그파일을 분석하여

URL , 검색어 , 접속시간, 방문횟수 등을 추출 및 분석이 가능합니다.


신속하고 효율적인 수사를 위해서는 방대한 웹 데이터들을

직관적으로 분석하기 위한 툴을 제작을 해야합니다.

로컬 파일 분석은 용의자의 흔적, 패턴 및 당시 상황을 찾기 위한 매우 중요한

디지털 포렌식 수사 방법입니다.

하지만 조사 대상인 로컬 파일에는 무수히 많은 정보가 존재하며

그 종류가 다양하기 때문에 수사의 어려움이 커서 이를 체계적이고

효과적으로 보여주기 위해서는 적절한 필터링과 분석을 통하여

검사관에게 제시하여야 합니다.


로컬상에서 비휘발성 데이터 정보로는 레지스트리나, 웹로그를 제외하고도 운영체제에서

자체적으로 로깅하는 부분, 혹은 남아있는 데이터들을 이용할 수 있습니다.


그 이외에 용의자의 컴퓨터 시간의 조작여부, 부팅 및 종료시간,

파일 생성날짜, 임의로 숨겨진 데이터 ,

시스템이 일으키는 에러사항 등의 정보를 제공합니다.



Architecture 끝 :)