DDDDigtal 4ensics

​글을 쓰기에 앞서 이 글은 ​ 1.국내 특성을 반영한 e-discovery 대응절차 - 이신형,이상진(고려대학교) 2. nepla - e-discovery에 관하여 3. 위키백과 에서 요약해서 쓴 글입니다. ​ 개요 ​ ​ 미국 민사소송절차에는 소송이 제기되면 공판이 이루어지기 전에 당사자들이 소송에 관련된 정보와 증거를 소송 상대방으로부터 요구해서 얻을 수 있도록 하는 증거개시 제도(discovery 제도)가 있다. e-discovery는 2006년 민사소송규칙을 개정하여 전자적으로 저장되어 있는 자료에 대해서도 증거개시를 시행하도록 하였다. ​ ☞ 전자 디스커버리와 관련된 법은 미국 연방민사소송규칙 (Federal Rules of Civil Procedure) 16조 및 26 ​ e-discover..

REGA란 ? 레가는 고려대학교 DFRC에서 만든 레지스트리 수집 및 분석 툴입니다. 레가는 직관적인 GUI와 간편한 사용 법으로 많은 사람들이 CTF나 챌린지 등에서 많이 사용하는 프로그램 입니다. 저 역시도 레지스트리와 관련된 문제는 Registry Explorer보다 REGA를 선호합니다. ​ 레가는 아래 홈페이지에서 다운받을 수 있습니다. http://forensic.korea.ac.kr/tools.html 레가를 처음 킨다면 아래와 같은 화면이 나오는 것을 볼 수 있습니다. 만약 현재 시스템에서의 분석을 원한다면 파일-레지스트리 파일 수집 - 현재 시스템 레지스트리 수집을 눌러주시면 됩니다. 분석할 파일을 저장할 폴더를 선택해서 확인을 눌러주시면 잠시 후에 수집완료되었다는 메세지 박스가 뜰겁니다..

컨디션의 사용 법을 알아보자. ​ 오늘은 Encase의 Condition 기능을 알아보도록 하겠습니다. ​ Condition이란 ? Filter와 비슷한 기능입니다. 날짜와 날짜 사이의 파일이 생긴게 있는지로 악성코드 감염시 악성코드가 생성하는 어떠한 파일을 찾아볼 수 도 있고, 파일명을 검색할 수 있는 등 여러 옵션이 많은 기능입니다. 컨디션은 그냥 바로 검색할 수 있는 기능도 있는 반면, Process를 돌려야만 결과를 얻을 수 있는 옵션도 존재합니다. ​ 컨디션의 위치 컨디션의 New를 눌러서 추가하려한다면 처음 보이는 화면은 다음과 같습니다. ​ 화면에서 또 New를 눌러보면 화면이 나오게됩니다. ​ String : String 형식이라면 Operator를 선택 후 나오는 List목록에 적으시면 ..

저번 글에서 설명해드렸던 그대로 일단 Encase를 이용하여 증거물을 열어줍니다. Process를 눌러줍니다 프로세스를 누르게 된다면 Process Options 창이 나옵니다. 옵션에 대한 간단한 설명 ※ 빨간 !는 한 번만 실행 가능한 옵션이다. (솔직히 한 번 이상할 이유가 없기도 하다.) ※ 글자색이 파란색인 경우는 추가로 어떤 옵션을 추가할 수 있기에 해당 글자를 클릭해보면 된다. Priorizization 먼저 처리할 항목 유형을 선택합니다. Recover Folders 이 설정을 사용하면 삭제되거나 손상된 파일을 복구하여 FAT 및 NTFS 볼륨에서 숨겨진 파일을 찾을 수 있습니다. File signature analysis 이 설정을 사용하여 파일 확장명이 변경되었는지 여부와 헤더 바이트로..