3~5페이지
reference!
논리성, 성실성
1. FBI vs 애플
테러범이 14명 죽임 현장체포
개인정보보호
수사정보 개인정보 보호 서로 충돌 어떤 것이 더 중요?
어느 범위까지 허용되어야 하는가?
대안제시
--------------------------------------------------------------
"TTA 디지털 증거 수집 보존 가이드라인"
2. log.txt
09:40:~
09:41:~
방지하기 절차
원본의 개념 정의->통용되는 정답이 있다.
dd, netcat..... 도구의 신뢰성문제
ex) CTT
조사관 교육이 신뢰성확보방법에도 포함됨
3. 선별수집
ex) 지하철 몰카
조사관입장에서는 최대한 확보를 위해
용의자입장에서는 카메라만 봐라!
선별수집 관점에서
그림이 중요할 때,
1) *.jpg *.png *.gif 등등 확장자로 찾는것
2) 확장자 없을때 signature보고 파일을 연다. signature를 보고 찾는다.
이메일
3) 이메일 분석->수신, 발신 날짜로 특정 기간을 선별수집
선별수집의 추가적인 방안 제시
*공간이 중요 *USB수집 *HDD수집....등등의 상황들
상황을 설명하고 선별수집방법제시!
-----------------------------------------------------------------------------------------------
inode에 4가지 시간 생성시간, 수정시간, 접근시간, 삭제시간(다시 확인해보기!)
파일시스템 두가지->파일 따라가기, 삭제된 데이터 복구
'삭제된 데이터 복구'
ext에서는 메타데이터를 이용해서 파일 복구 불가능
size는 이미 0으로 되어버림(Inode Table에서)
구조적인 특징으로 복구->카빙(carving)
카빙을 정교하기 위해, 구조분석, 모든 파일에 대해서 시그니처, slack(잔존하는 널, 블럭단위를 맞추기 위해)확인
but 쪼개져있다면, 모아야 한다. 하지마 순서를 알 수 없다. 유의미한 부분을 분석 혹은 jpg같은 경우 jpg의 특성인 random값이 높은 조각들을 모아서 경계 부분의 RGB값을 비교해서 유사한 것들 순서대로!
extent 높아도 똑같은 알고리즘 적용하여 복구한다.
SQLite
Apk
Backup 파일 구조 분석
---------------------------------------------------------------------------------------------
준비->수집, 획득->분석->보고서작성