[Mobile Forensics] 포렌식 수행 수칙(Good forensic practices)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 포렌식 수행에 있어 지켜야 할 수칙에 대하여 알아보겠습니다. 모두 화이팅 하세요!!!

 

Good forensic practices

 

https://www.packetlabs.net/posts/digital-forensics-best-practices/

 

 

Securing the evidence

‘스마트폰 찾기 기능’, ‘원격 삭제’ 등 최신 기술의 등장으로 인하여 분석대상 모바일 폰을 안전하게 격리하고 보호할 필요가 있습니다.

증거를 보호하기 위해서는 모든 네트워크로부터 폰을 격리 시켜야 합니다.

격리를 하게 되면 폰은 새로운 데이터를 네트워크를 통해 받지 못하게 됩니다.

모바일 디바이스와 그것의 사용자간의 연관성을 확인해야 할 필요가 있습니다.

모든 주변 장치(peripherals), 관련된 미디어(associated media), 케이블(Cables), 파워 어댑터(power adapters), 그리고 현장에 보이는 관련 소모품(accessories)을 확보하는게 좋습니다.

만약 디바이스가 개인용 컴퓨터에 연결 된 채 발견되었다면, 강제 분리는 직접적인 데이터 통신을 중단하게 하는 효과가 있습니다.

디바이스의 전원 플러그를 제거하기 전에 개인용 컴퓨터의 메모리를 확보하는 것이 좋습니다.

 

Preserving the evidence

증거를 수집하게 되면, 법정에서 받아들일 수 있는 상태로 보존되어야 합니다.

증거가 허용되기 위해서는 제시된 증거가 수집된 원본과 완전히 동일한 것임을 증명하여야 합니다.

동일성 증명은 이미지에 대한 포렌식 해시값을 생성함으로써 가능합니다.

포렌식 해시는 이미지 또는 데이터에 대한 암호학에 기반을 둔 강력하고 일방향성(non-reversible)의 값을 계산함으로써 획득에 대한 무결성(integrity of an acquisition)을 보장합니다.

원본 데이터에 대한 해시값과 사본에 대한 것을 비교하여 증거의 무결성이 유지되고 있음을 확인시켜야 합니다.

해시값이 변경되었다면, 그 이유와 상황을 문서화시켜야 하고 설명 가능하여야 합니다.

 

Documenting the evidence and changes

데이터를 열람한 것에 대한 기록을 만들어 두어야 합니다.

모바일 디바이스와 발견된 다른 미디어에 대한 채증을 해 두어야 합니다.

모바일 디바이스를 채증할 때에는 디바이스의 손잡이를 직접 붙잡거나 터치하지 않는 것이 좋습니다.

증거를 수집하고 추출하는데 이용한 모든 방법과 도구를 문서화하여야 합니다.

변경이 일어난 모든 상황을 비롯하여 전체 복원 과정을 문서화할 수 있어야 합니다.

 

Reporting

조사과정에서 수행한 모든 단계에 대한 상세한 요약과 도달된 결론을 준비하는 과정입니다.

조사자가 수행한 모든 중요한 조치에 대한 상세한 사항과 획득의 결과, 그 결과로부터 도출한 추론을 포함하여야 합니다.

대부분의 포렌식 도구는 자체적인 보고서 작성 기능(built-in reporting features)을 갖고 있으며, 보고서를 자동으로 생성할 수 있습니다.

 

일반적으로 보고서에는 다음의 사항을 포함하여야 합니다.

-  보고 기관에 관한 사항 (Details of the reporting agency)

-  사건 식별자 (Case identifier)

-  포렌식 조사자 (Forensic investigator)

-  제출인 식별 (Identity of the submitter)

-  증거 수령일 (Date of evidence receipt)

-  입수된 디바이스에 대한 상세한 사항 (Details of the device seized for examination including serial number, make, and model)

-  시리얼 넘버, 제조사, 모델명

-  조사에 사용된 장비와 도구에 대한 상세한 사항 (Details of the equipment and tools used in the examination)

-  조사과정에서 진행된 각 단계에 대한 설명 (Description of steps taken during examination)

-  연계 보관 서류 (Chain of custody documentation)

-  확인된 발견물 또는 쟁점에 대한 상세한 사항 (Details of findings or issues identified)

-  조사과정에서 복원된 증거 (Evidence recovered during the examination, ranging from chat messages, browser history, and call logs to deleted messages, and so on)

-  채팅 메시지, 브라우저 히스토리, 통화내역, 삭제된 메시지

-  조사과정에서 캡쳐된 모든 이미지 (Any images captured during the examination)

-  조사 및 분석 정보 (Examination and analysis information)

-  보고서의 결론 (Report conclusion)

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Practical Mobile Forensics (Rohit Tamma)