컴퓨터 법의학 기술 연구
컴퓨터와 사이버 기술의 급속한 발전에 따라 컴퓨터 범죄와 사이버 보안 등의 문제가 점점 더 두드러지고 주목을 받고 있다. 컴퓨터 법의학의 특징, 원리 및 절차를 소개하고, 마지막으로 독립 실행형 및 장치 기반 및 네트워크 기반 포렌식 기술에 대해 심도 있게 연구했습니다.
키워드: 컴퓨터 법의학 데이터 복구 암호화 암호 해독 허니팟 네트워크
컴퓨터와 네트워크 기술이 급속히 발전하면서 컴퓨터와 네트워크는 인간 정치, 경제, 문화, 국방사무에서 점점 더 중요한 역할을 하고 있으며, 컴퓨터 범죄와 사이버 보안 등의 문제도 갈수록 두드러지고 있다. 하드웨어 방화벽, 침입 탐지 시스템, 네트워크 격리 등 다양한 보호 장치와 조치, 권한 부여 메커니즘, 액세스 제어 메커니즘, 로그 메커니즘, 데이터 백업 등의 보안 예방 조치를 취했지만 시스템의 절대 보안을 보장할 수는 없습니다.
컴퓨터 포렌식 기술 (Computer forensics technology) 은 첨단 기술 수단을 이용하여 사전 설정된 절차에 따라 법적 사양을 준수하고 컴퓨터 하드웨어 및 소프트웨어 시스템을 철저히 탐지하며 컴퓨터 범죄와 관련된 증거와 법원에 의해 신빙성이 있고 신뢰할 수 있는 전자 증거를 검색, 저장, 보호 및 분석하는 것을 말합니다. 컴퓨터 법의학의 목적은 침입자를 찾아 전체 침입 과정을 설명하거나 재현하는 것이다.
첫째, 컴퓨터 법의학의 특성
전자 증거는 전통적인 증거와 마찬가지로 믿을 만하고 정확하며 완전하며 설득력 있고 법적 규범에 부합해야 한다. 또한 전자 증거에는 다음과 같은 특징이 있습니다.
1. 디지타이즈합니다. 전자 증거는 전통적인 물증과는 달리 육안으로는 직접 볼 수 없고, 반드시 일정한 도구를 결합해야 한다. 근본적으로, 전자 증거의 전달체는 모두 전자 부품이며, 전자 증거 자체는 특별한 순서로 조합된 이원 정보 문자열일 뿐이다.
2. 연약함. 컴퓨터 데이터는 계속 변화할 수 있다. 시스템 운영 중 데이터는 지속적으로 새로 고쳐지고 다시 작성됩니다. 특히 용의자가 일정한 컴퓨터 수준을 가지고 있는 경우 컴퓨터 사용 흔적에 대해 되돌릴 수 없는 파괴적인 작업을 하면 현장을 재현하기가 어렵습니다. 또한, 법의학자들은 전자 증거를 수집하는 과정에서 불가피하게 파일과 절차를 열어 현장에 1 차 손상을 초래할 수 있습니다.
다형성. 전자증거의 다형성이란 전자증거가 다양한 형태로 나타날 수 있다는 것을 말한다. 프린터 버퍼의 데이터, 다양한 컴퓨터 저장 매체의 사운드, 비디오, 이미지 및 텍스트, 네트워크 교환 및 전송 장치의 기록 등이 될 수 있다. 이러한 다른 형태는 제출 된 증거의 유형이 될 수 있습니다. 법원은 증거를 채취할 때 전자 증거의 생성 과정과 수집 과정이 신뢰할 수 있는지뿐만 아니라 전자 증거가 위조, 변조, 대체되지 않도록 해야 한다.
4. 인간-컴퓨터 상호 작용. 컴퓨터는 사람이 조작한다. 전자적 증거만으로는 전체 범죄 과정을 복원할 수 없을 수도 있고, 인위적인 조작과 결합해야 완전한 기록을 형성할 수 있다. 증거를 수집하고 현장을 복원하는 과정에서 인간의 사고 방식과 행동 습관을 고려하면 적은 노력으로 더 많은 일을 할 수 있다.
둘째, 컴퓨터 법의학의 원리와 단계
(a) 컴퓨터 법의학의 주요 원칙
1. 시효성 원칙. 가능한 한 빨리 전자 증거를 수집하여 파괴되지 않도록 하고 증거 획득을 제때에 요구해야 한다.
2. 확인? 일련의 증거? 의 무결성입니다. 증거보존이라고도 합니다. 즉, 증거가 정식으로 법정에 제출될 때 초기 취득 상태와 법정에서 나타난 상태 사이의 모든 변화를 설명할 수 있어야 합니다. 여기에는 증거의 양도, 보관, 개봉, 하역 등의 과정이 포함됩니다.
3. 보안 원칙. 가능하다면 컴퓨터 증거를 두 부 이상 복사하는 것이 좋으며, 원본 증거는 반드시 전담자가 책임져야 하며, 보관 장소는 강한 자기, 강한 부식, 고온, 고압, 먼지, 습기 등 혹독한 환경에서 벗어나 증거 손상을 방지해야 한다.
전체 프로세스를 제어 할 수 있습니다. 법의학을 검사하는 전 과정은 모두 감독해야 한다. 증거 이전, 보관, 포장 풀기, 하역 과정에서 반드시 두 명 이상이 완성해야 하며, 각 코너는 진실이 믿을 만하고 중단되지 않도록 해야 하며, 증거가 고의로 파괴되는 것을 방지해야 한다.
(b) 컴퓨터 법의학의 주요 단계
1. 공장 사이트 조사
탐사는 주로 물증을 얻는 것이다. 우선, 우리는 컴퓨터 시스템을 보호해야 한다. 대상 컴퓨터가 여전히 네트워크에 연결되어 있다면 데이터가 원격으로 손상되지 않도록 즉시 네트워크를 분리해야 합니다. 대상 컴퓨터가 여전히 켜져 있으면 즉시 종료할 수 없습니다. 작업 상태를 유지하는 것은 법의학에 유리하다. 예를 들어, 일부 데이터는 메모리 버퍼에 남아 있을 수 있는데, 이는 종종 범죄자들이 놓친 마지막 중요한 증거이다. 장비를 철거하거나 이동해야 하는 경우, 앞으로 범죄 현장을 복원할 수 있도록 사진을 찍어서 보관해야 한다.
2. 전자 증거 얻기
정적 데이터 수집 및 동적 데이터 수집을 포함합니다. 정적 데이터에는 기존 일반 파일, 파일 삭제, 파일 숨기기, 파일 암호화 등이 포함됩니다. , 및 시스템 또는 응용 프로그램에서 가장 많이 사용해야 하는 임시 또는 숨겨진 파일입니다. 동적 데이터에는 컴퓨터 레지스터, 캐시, 라우팅 테이블, 작업 프로세스, 네트워크 연결 및 포트 등이 포함됩니다. 동적 데이터는 빠르고 신중하게 수집해야 하며, 조심하지 않으면 새로운 작업 및 파일 덮어쓰기로 대체될 수 있습니다.
증거의 무결성과 원시성을 보호하십시오.
증거 수집 과정에서 증거 보호를 위한 조치를 취하고, 추출된 다양한 데이터를 복제 및 백업해야 합니다. 추출된 물리적 장치 (예: CD 하드 드라이브 등 스토리지 장치, 라우터, 스위치 등 네트워크 장치, 프린터 등 주변 장치는 이동 및 제거 과정에서 사진 촬영, 카메라, 보관이 가능해야 합니다. 추출된 전자 정보의 경우 MD5, SHA 등의 해시 알고리즘을 사용하여 무결성을 보호하고 검증해야 합니다. 위의 모든 작업은 반드시 두 명 이상의 사람이 동시에 서명하여 확인해야 한다.
4. 결과 분석 및 제출
이것은 컴퓨터 법의학의 핵심이자 핵심이다. 모든 관련 파일 목록 및 발견된 파일 데이터를 포함한 대상 컴퓨터 시스템의 포괄적인 분석 결과를 인쇄한 다음 시스템 전체 상황, 발견된 파일 구조, 데이터, 작성자 정보 및 조사에서 발견된 기타 의심스러운 정보를 포함한 분석 결론을 제공합니다. 각종 표시와 기록을 마친 후 증거 형식으로 법정 절차에 따라 사법기관에 정식으로 제출한다.
셋째, 컴퓨터 법의학 관련 기술
컴퓨터 법의학과 관련된 기술은 매우 광범위하여 정보 보안의 거의 모든 영역을 포괄한다. 증거 출처를 보면 컴퓨터 포렌식 기술은 크게 독립 실행형 및 장치 기반 컴퓨터 포렌식 기술과 네트워크 기반 컴퓨터 포렌식 기술의 두 가지 범주로 나눌 수 있습니다.
(1) 독립 실행형 디바이스 기반 포렌식 기술
1. 데이터 복구 기술
데이터 복구 기술은 주로 사용자가 삭제하거나 포맷한 디스크 삭제 전자 증거를 복구하는 데 사용됩니다. 삭제 작업의 경우 파일의 저장 위치만 표시하면 파일이 차지하는 디스크 공간 정보가 새 파일 재작성 없이 그대로 남아 일반 사용자가 없어진 것처럼 보이지만 실제로는 파일 표시를 복구하여 데이터를 복구할 수 있습니다. 포맷 작업의 경우 파일 시스템의 다양한 테이블만 초기화하고 데이터 자체는 실제로 조작하지 않습니다. 파티션 테이블 및 부트 정보를 재구성하여 삭제된 데이터를 복구할 수 있습니다. 실험에 따르면 기술자는 데이터 복구 도구의 도움을 받아 7 회 덮어쓰여진 데이터를 복구할 수 있습니다.
2. 암호화 및 암호 해독 기술
일반적으로 범죄자들은 관련 증거를 암호화한다. 법의학자의 경우 원본 정보를 유효한 전자 증거로 만들려면 암호화된 데이터를 해독해야 합니다. 컴퓨터 법의학에 사용되는 암호 해독 기술 및 방법에는 주로 암호 분석, 암호 해독, 암호 검색, 암호 추출 및 암호 복구가 포함됩니다.
3. 데이터 필터링 및 데이터 마이닝 기술
컴퓨터 법의학에서 얻은 데이터는 텍스트, 사진, 오디오 또는 비디오일 수 있습니다. 이러한 유형의 파일은 범죄 정보를 숨길 수 있으며, 범죄자들은 은폐술을 통해 이러한 유형의 파일에 정보를 포함할 수 있습니다. 범죄자가 암호화 기술과 결합하여 정보를 처리한 후 파일에 포함시키면 원본 정보를 복구하기가 매우 어려울 수 있으므로 더 나은 데이터 마이닝 도구를 개발하여 필요한 전자 증거를 정확하게 선별해야 합니다.
웹 기반 법의학 기술
웹 기반 포렌식 기술은 사이버 추적 및 위치 범죄자를 이용하거나 인터넷 통신 데이터를 통해 증거를 얻는 기술로, 다음과 같은 기술을 포함합니다.
1.IP 주소 및 MAC 주소 획득 및 인식 기술
Ping 명령을 사용하여 대상 호스트에 요청을 보내고 ICMP 응답을 수신하면 대상 호스트가 온라인 상태인지 여부를 확인한 다음 다른 고급 명령을 사용하여 심층 검사를 계속할 수 있습니다. IP 검색 도구를 사용하여 IP 를 얻거나, DNS 의 역방향 조회를 사용하여 IP 주소를 얻거나, 인터넷 서비스 공급업체 ISP 의 지원을 통해 IP 를 얻을 수도 있습니다.
MAC 주소는 하드웨어 수준이며 IP 주소와 MAC 변환은 주소 확인 프로토콜의 ARP 테이블을 찾아 이루어집니다. 물론 MAC 는 IP 주소와 마찬가지로 수정될 수 있어 한때 범람했다. ARP 스푸핑? 트로이 목마는 IP 주소나 MAC 를 수정하여 목적을 달성한다.
2. 네트워크 IO 시스템 법의학 기술
즉, 네트워크 입/출력 시스템, netstat 명령을 사용하여 용의자를 추적하면 용의자 컴퓨터의 도메인 이름과 MAC 주소를 얻을 수 있습니다. 가장 대표적인 침입 탐지 기술은 IDS 로, 특정 이벤트와 감지 패턴의 변화를 감지하는 것으로 나뉜다. 법의학에 가장 큰 도움이 되는 것은 범죄 행위를 감시하고 기록하는 데 사용할 수 있는 로그나 녹음 기능을 제공할 수 있다는 것이다.
3. 전자 메일 포렌식 기술
E-메일은 간단한 애플리케이션 프로토콜 및 텍스트 저장 및 전달을 사용합니다. 헤더 정보에는 발신자와 수신자 간의 경로가 포함됩니다. 헤드 경로를 분석하여 증거를 얻을 수 있습니다. 핵심은 메일 정보가 메일 프로토콜에 저장되는 위치를 아는 것입니다. POP3 프로토콜의 경우 보고 헤더 정보를 얻기 위해 워크스테이션에 액세스해야 합니다. HTTP 프로토콜을 기반으로 보낸 메시지는 일반적으로 메일 서버에 저장됩니다. Microsoft 운영 체제의 메일 서비스는 일반적으로 SMTP 프로토콜을 사용합니다. 해커는 위조된 소스 및 대상 주소를 포함한 모든 정보를 SMTP 프로토콜을 사용하는 메시지 헤더 정보에 쉽게 삽입할 수 있습니다. 메일을 추적하는 주요 방법은 ISP 에 도움을 요청하거나 넷스케이딩과 같은 특수 도구를 사용하는 것입니다.
허니팟 네트워크 법의학 기술
허니팟은 허위 민감한 데이터이며 네트워크, 컴퓨터 또는 백그라운드 서비스 또는 거짓 암호 및 데이터베이스가 될 수 있습니다. 허니팟 네트워크는 정보를 수집하고 교환할 수 있는 여러 개의 허니팟으로 구성된 네트워크 시스템입니다. 연구원들은 데이터 제어, 데이터 캡처 및 데이터 수집을 통해 허니팟 네트워크에서 공격을 제어하고 분석합니다. 허니팟 네트워크의 핵심 기술로는 사이버 스푸핑, 공격 캡처, 데이터 제어, 공격 분석 및 피쳐 추출, 경고 및 방어 기술이 있습니다. 현재 널리 사용되고 있는 액티브 허니팟 시스템은 공격자의 공격 목적에 따라 적절한 사기 서비스를 제공하고 침입자가 허니팟에 있는 시간을 지연시켜 더 많은 정보를 얻고 시스템 보안을 보장하기 위한 목표 조치를 취하고 있습니다.
참고 자료:
[1] 루시영. 얕은 분석 컴퓨터 법의학 기술 [J], 푸젠 컴퓨터, 2008(3).
[2] 리우 링. 컴퓨터 정적 법의학 및 컴퓨터 동적 법의학 [J], 컴퓨터 및 현대화, 2009(6) 에 대해 이야기하기.
보셨어요? 컴퓨터 법의학 기술 논문? 사람들은 여전히 다음을 봅니다.
1. 컴퓨터 범죄 및 수집 기술 연구 논문
안드로이드 모바일 법의학 기술 논문
컴퓨터 보안 졸업 논문
4. 컴퓨터 보안 논문
5. 컴퓨터 보안 패러다임