검색 상세

윈도우 환경에서 안티포렌식 도구의 고유흔적을 이용한 디지털 증거 확보 방안

A Plan to Secure Digital Evidence through Characteristic Trace of the Anti-forensic Tool in Windows Environment

  • 이은희 (Lee, Eun-Hee, 서강대학교 정보통신대학원)

초록/요약

최근 인터넷 사용이 일반화되면서 기술환경 변화에 맞춘 다양한 범죄 방식의 증가로 인해 디지털 포렌식의 중요성이 커지고 있다. 디지털 포렌식은 법정에 제출된 디지털 증거의 증거능력과 증명력을 뒷받침하기 위한 다양한 전문기술로, 사이버 범죄의 감지 및 예방과 증거 수집을 통해 증거의 무결성, 진정성 증명을 위한 증거분석을 수행하여 범죄 증거를 확보하는 일련의 과정을 포함한다. 그러나 디지털 포렌식 도구가 다양해지고 기술이 발전함에 따라, 이에 대응하는 디지털 증거 인멸 및 분석 지연을 위한 안티포렌식 기술이 다양해지고 있다. 또한 라이브 포렌식 기술이 발전하고 있음에도 불구하고 안티포렌식 행위에 여전히 취약하여 디지털 증거 자료 수집을 방해하거나 법정 보고서나 증언으로 가치가 없도록 디지털 증거를 훼손시킨다. 기존의 안티포렌식 대응에 관한 연구는 대부분 네트워크 포렌식에 치중하여 해당 트래픽이 감사 데이터(audit data)와 얼마나 유사한가와 같은 결과를 보여주고 있거나, 시스템 명령어 단위의 안티포렌식 행위 및 점근을 탐지하는 방법이 연구되었다. 네트워크 포렌식 관점에서의 안티포렌식 대응은 해당 트래픽이 얼마나 위험하고 어디에 영향을 끼치며, 어떤 대응을 필요로하는지 알기 어렵다. 또한 시스템 명령어 단위의 안티포렌식 행위 탐지는 시스템에 대한 전문지식을 갖춘 사람이 안티포렌식 기법을 사용할 수 있다는 특성을 갖고 있다. 그리고 기존 연구는 전문 도구를 이용한 안티포렌식 행위에 대해서는 감안하지 못하였다. 본 논문에서는 윈도우 운영체제 환경에서 안티포렌식 행위를 탐지하고 디지털 증거물을 확보하는 방법을 제안한다. 안티포렌식 도구가 설치되고 단순 실행 및 기능실행 되었을 때 운영체제에 고유한 흔적을 남기게 된다. 이러한 안티포렌식 도구의 고유 흔적을 심층적으로 분석하여 안티포렌식 행위 탐지 지표를 설계하고 탐지 모듈을 구현하였다. 또한 전문 도구에 의한 안티포렌식 행위 탐지 시점에 윈도우 파일시스템의 메타데이터를 분석하여 범죄 흔적과 법정 보고서나 증언으로서 가치가 있는 디지털 증거를 획득할 수 있는 디지털 증거 획득 모듈을 구현하였다. 이를 통해 활성시스템에서 전문 도구 사용에 의한 안티포렌식 행위가 발생했을 때 실시간 탐지가 가능하고, 물리메모리에 존재하는 휘발성 정보를 수집하여 디지털 증거물의 손실을 최소화하고 신속한 포렌식 초기 대응을 할 수 있었다.

more

초록/요약

The use of internet has been generalized of late, and the importance of digital forensic has been highlighted due to increased means of crime fitting to the changes in technology environment. Digital forensic is a diversified expert skill to support the evidential admissibility and probative force of the digital evidence submitted to the court. It includes a series of process to detect and prevent cybercrimes, collect evidences, analyze the evidences to prove the integrity and authenticity of evidences, and secure the evidence of crime. As tools and technologies for digital forensic have been developed, the anti-forensic technologies to destroy the evidences and delay the analysis have been diversified, as well. Even though the live forensic technology has improved, it is still vulnerable to the act of anti-forensic which disturbs collecting digital evidences or damages digital evidences to be of no value as the statutory reports and testimonies. Most of existing studies about confronting with the anti-forensic are focused on the network forensic to show the results such as how the given traffic is similar to the audit data. There also have been studies of detecting the act and access of anti-forensic in the form of a system command unit. When confronting with anti-forensic from the network forensic point of view, it is difficult to know how dangerous and influential the given traffic is and which countermeasure is necessary. In addition, when detecting an act of anti-forensic in the form of a system command unit, a person who knows the system can use the anti-forensic technique. Moreover, existing studies have not considered acts of anti-forensic using professional tools. In this thesis, we suggests a way to detect an act of anti-forensic in Windows-based OS environment and secure the evidence. When the anti-forensic tool is installed and executed simply or functionally, it leaves a characteristic trace in the OS. Analyzing the characteristic trace of such anti-forensic tool, we designed an anti-forensic detection marker and materialized a detection module. At the point of detecting the act of anti-forensic done with professional tools, we analyzed the meta data of Windows file system to materialize a module acquiring traces of crime and digital evidences valuable as statutory reports or testimonies. Thus, it was able to detect in real time an act of anti-forensic done by professional tools in an activating system, minimize the damage on digital evidences by collecting volatile information in the physical memory, and perform initial countermeasures promptly.

more
반출 Meta View 목록