제1장 디지털증거 수집

디지털증거 수집

📍디지털증거 수집 절차

1. 하드디스크 정보

   1. 컴퓨터의 전원이 켜져있는 경우

   : 전원플러그를 그냥 뽑아서 정상적인 컴퓨터 종료절차에 의한 데이터 손실을 방지한다.

   2. 컴퓨터의 전원이 꺼져있는 경우

   : 컴퓨터의 케이스 한쪽 면을 열고 하드디스크가 연결되어진 상태에서 사진을 찍어 기록하고, 그 이후에 하드디스크를 컴퓨터에서 분리하여 하드디스크 정보를 기록한다.

2. 컴퓨터 시간정보 확인

   : 하드디스크를 분리한 상태에서 컴퓨터를 부팅하여 BIOS 화면에 출력된 시간과 휴대폰 시간과 비교하여 오차를 확인한다.

3. 디지털증거의 이미징을 위한 무결성

   1. 쓰기방지 장치 사용

   : 디지털 증거의 위변조를 방지하기 위해 사용한다. 연결 이후 장치의 동작여부를 확인하고, 정상 동작 시 디지털 증거를 연결한다.

   2. 쓰기방지 장치가 없는 경우

   2-1) 자동마운트 관련 명령: mountvol

   쓰기방지 장치가 없는 상황에서 디지털증거에 대한 접근을 최소화하기 위해 사용하는 방법으로, 이를 통한 증거 수집 시 법정에서 증거능력 배제 가능성이 있다.

   mountvol /r [/n]: **자동마운트 기능해제**
   

   mountvol /e: **자동마운트 기능 복원**
   

   2-2) 자동마운트 방지명령이 적용되지 않는 이동식 저장장치의 경우

   : 레지스트리 키를 변경하여 WriteProtect 설정하기

   키: StorageDevicePolicies

   3. 자동 실행 방지

   3-1) 이동식저장장치 자동실행방지

   시작→관리도구→서비스→ShellHardwareDetection

   3-2) 모든 미디어 자동실행방지

   제어판→자동실행→[모든 미디어 및 장치에 자동 실행 사용] 체크 해제

4. 디스크 이미징

   1. FTK Imager를 활용한 디스크 이미징

   FTK Imager 다운받아 설치(다운로드 경로: https://accessdata.com/product-download)→[File] 메뉴의 [Create Disk Image] 실행→생성할 이미지 소스 선택→소스 드라이브 선택→이미지 생성→생성이미지와 관련된 케이스와 증거관련 내용을 입력→이미지 폴더와 파일 설정→이미지 생성→생성이미지 요약 정보→디스크 이미징 결과에 대한 요약보고서 확인

   이 때 최종적으로 확인할 수 있는 요약 정보이다.

   2. dd 명령을 활용한 디스크 이미징

   C:/] dd.exe —list

   위의 명령을 활용하여 디스크의 볼륨을 확인한다.

   C:/] dd.exe if=\\.\d of=image.img bs=4096 count=1440

   위의 명령에서 if는 Input File, of는 Output File의 의미. 즉, D볼륨의 내용을 4096바이트씩 1440번 읽어서 image.img의 파일로 저장하라는 의미.

5. 디지털 증거의 관리연속성 검증

   

   인수인계서 샘플

   인수인계서 샘플을 참조해 별도의 인수인계서를 제작해 사용하거나, 기존 기관에서 사용하는 양식을 사용한다.