참고 강의: 기초부터 따라하는 디지털포렌식 강의 | 대시보드 - 인프런
[지금 무료]기초부터 따라하는 디지털포렌식| 훈지손 - 인프런 강의
현재 평점 4.9점 수강생 5,422명인 강의를 만나보세요. 기초부터 따라하는 디지털포렌식 강의입니다. 강의를 따라하다보면 "물 흐르듯, 자연스럽게" 실력이 늘어가는 강의를 추구합니다. 디지털포
www.inflearn.com
Section 1. 디지털 포렌식 소개
[디지털 포렌식]
컴퓨터 범죄와 관련하여 디지털 장치에서 발견되는 자료를 복구하고 조사하는 법과학의 한 분야
컴퓨터 범죄?
스마트폰, 인공지능 스피커, 자동차 시스템, 기업 보안장비 등을 모두 포함
컴퓨터 장치가 들어가는 수많은 디바이스를 대상으로 증명된 과학적 기반 기법들을 이용해
컴퓨터와 관련된 디바이스에서 정보를 수집 및 추출 후 범죄수사와 관련된 증거수집, 증거확증 등의 부분에 이용하는 영역
[디지털 포렌식의 필요성]
1. 해킹 등 컴퓨터 관련 범죄 뿐만 아니라 일반 범죄에서도 디지털 포렌식으로 획득할 수 있는 증거가 주요 단서가 되는 경우가 多
2. 범죄 수사 이외의 분야에서도 활용도 증가(형사, 민사 사건) + 일반 기업에서의 수요 급증(내부 정보 유출, 회계 감사 등)
[디지털 포렌식의 유형]
1. 침해 사고 대응
- 실시간
- 사태 파악 및 수습 목적
- 엄격한 입증 필요 無
2. 증거 추출
- 사후 조사
- 범죄 증거 수집 목적
- 엄격한 입증 필요 有
[디지털 포렌식의 대상]
- 디스크 포렌식 → 컴퓨터 디스크(윈도우, 리눅스, MacOS, 클라우드 등)
- 메모리 포렌식 → 컴퓨터 메모리(RAM)
- 네트워크 포렌식 → 네트워크 패킷, 네트워크 장비 로그 등의 네트워크 관련 설정들
- 모바일 포렌식 → 모바일 디바이스(저장소, 메모리), IoT 디바이스 등
- 기타 → 데이터 베이스 포렌식, 암호 포렌식, 회계 포렌식, 소스코드 포렌식 등
Section 2. 디지털 포렌식 기초
[디스크 이미징]
실습 조건: c드라이브 외 D, E드라이브 등의 추가 드라이브 존재 필요 혹은 USB 1개 이상 존재 필요
실습 도구
- AccessData_FTK_Imager
- HxD
- Everything
- 7-zip
- Notepad++
- Sysinternals Suite
- Autopsy
[삭제 파일 복구]
강의에서 제공한 USB.E01 파일 + FTK_Imager 활용
FTK 도구를 이용해 USB.E01 파일을 열면 상단과 같은 화면을 볼 수 있음
우측 파일 아이콘에 x 표시가 있는 파일은 삭제된 파일임
그 중 image.E01 - 복사본 / image.E01 - 복사본 (2) / image.E01 - 복사본 (3)을 복구해볼 예정
3개의 파일 다중 선택 후 우클릭 → Export Files 클릭 → 복구할 위치(경로) 지정
해당 경로에 접속하여 파일 복구되었는지 확인
강의에서 제공한 USB.E01 파일 + Autopsy 활용
Autopsy의 경우, 파일을 직접 Export하지 않아도 삭제 파일의 내용까지 바로 볼 수 있음
Autopsy는 파일을 프로그램 내에서 자동으로 여러 형식으로 분류하기 때문에,
파일을 찾을 때 효과적, 효율적으로 찾을 수 있다는 장점이 있음
e.g.) Image 파일별, 문서 파일별, PDF 파일별, 삭제 파일별, 키워드별(e.g. Email 형식의 문자열을 찾아주는 기능)
'4-1. 2025-2 심화 스터디 > 디지털 포렌식 1팀' 카테고리의 다른 글
| [2025.11.22] 5주차 활동_ctrl+z (0) | 2025.11.30 |
|---|---|
| [2025.11.15] 4주차 활동_ctrl+z (0) | 2025.11.22 |
| [2025.11.8] 3주차 활동_ctrl+z (0) | 2025.11.17 |
| [2025.10.04] 2주차 활동_ctrl+z (0) | 2025.10.08 |