디지털 포렌식 증거 조사 #4
74934 단어 디지털 포렌식대학원디지털 포렌식 증거 조사대학원
2021-10-12-디지털포렌식개론-4주차.md
- A Theoretical Examination Framework
A Theoretical Examination Framework
(이론적인 조사 프레임워크)
Digital Forensic Evidense Examination
#4
Galdyshev의 모델
- The reconstruction of event sequences (이벤트 시퀀스의 재구성)
- 조사 대상 시스템 → FSM
- 유용한 증거 → evidential statement (증거 진술)
- Event reconstruction (이벤트 재구성) → FSM에서 evidential statement에 대한 가능한 모든 설명을 찾는 문제
- 사건 동안 발생한 event
- backtracing transitions leading to the final state x
(최종 상태 x로 이어지는 역추적 전환) - discarding seq. of transitions that disagree with the available evidence
(사용 가능한 증거로 받아들여질 수 없는 전환들의 시퀀스를 버린다)
- backtracing transitions leading to the final state x
- 가정
- 일부 time picture를 관찰할 수 있음
- partitioned run (분기 실행) : 이벤트 수열
- Evidence :
Carrier의 모델
- Extended FSM : FSM + removable devices (이동식 장치)
- Primitive history (원시 이력) : the complete sequence of primitive states and events that occurred (발생한 원시 상태 및 이벤트의 완전한 시퀀스)
- Complex history (복합 이력) : the complete sequence of complex states (복합 상태의 완전한 시퀀스)
- 조사 절차 : observation(관측), hypothesis(가설), prediction(예측), testing(테스트)
- 분석 기법 분류
- {primitive(원시)/complex(복합)} X {event(이벤트)/state(상태)} at relevant times (관련 시간)
- consistent (일관됨) → hypothesis is confirmed (가설이 확인됨)
- Inconsistent (일관되지 않음) → hypothesis is refuted (가설이 반박됨)
Kwan et. al.의 모델
- Legal requirement (
- 임의의 에 대해서 evidence chain
- 각 evidence에 가중치
- 조사 시작, 비용을 들여 탐지하고 가중치가 임계치를 초과하면 다음 단계로 진행, 임계치 보다 낮으면 버림
- 범죄 발생 방식에 대한 가설 검증 : Bayesian network
- 최소 비용 최대 효과를 달성
조사 모델
- Legal Context
- : a set of hypothesized claims (가설 주장의 집합)
- : set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
- : Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
- : internal consistency (내적 일관성)
- : consistency with events (이벤트들과의 일관성)
- : the forensic procedures (포렌식 절차)
- : resource (자원)
- : schedules (스케쥴)
- Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
- : law(법률) is associsted with a violation (위반)
(법률은 법률 위반과 관련됨)
- - 각
- The hypothesized Claims
- The hypothesized Event claims
- The Traces
포렌식 절차
- 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
- 의 부분 집합에 대해 적용됨
- 각 절차는 오탐과 미탐 발생 가능
- 모든 당사자에게 (이론적으로) 유용해야 함
- 자원
- (Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
- (Schedule)
- 한정된 일정 내에 변론과 반론을 수행
- 새로운 증거의 제시 또는 배제
- 절차는 자원을 소모
- 재판관할의 변경
- 예산, 시간의 한계
- 상반되는 증거의 발견
- 증거 검토 후 위조된 증거 발견
- 한정된 자원을 이용하여 최대한 많이 분석해야 함
조사 모델에 대한 검토
- (법률)은 유한함, (자원)은 단순하게 표현가능
- (가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
- (증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
- (흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
- (내적 일관성)
- (이벤트들과의 일관성)
- (포렌식 절차): 정의된 시간 내에 와 에 적용되는 모든 가능한 작업
- 모든 가능한 절차를 수행하는 것은 불가능
- 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
- 검증된 도구를 사용
- 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
- 재판 일정은 사건에 따라 다름
- 수주에서 수년까지 다양
조사 모델의 한계
- 이론적인 프레임워크가 아님
- 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
- 수학적인 구조가 필요하나 사람의 판단에 의존
- N명이 제한된 정보로 oppositional game을 하는 것과 유사
- 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
- 신뢰성, 오류율 등이 알려져 있지 않음
- OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
- 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
- 신뢰성
- the use of redundancy for analysis (분석을 위해 중복성을 사용함)
- 서로 다른 도구와 기술을 사용하여 별도로 검증
- CFTT
- 정보 역학에 근거하여 모순성과 일치성 규명
- Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)
Diplomatics 관점의 모델
- Acts(행위):
- 필기 → 기록
- Probative records (증거가 될 수 있는 기록)
- Dispositive records (처분할 기록)
- supporting records (도움을 줄 수 있는 기록)
- narrative records (이야기/서사 기록)
- instructive records (실행 기록)
- enabling records (활성화 기록)
- Persons(사람):
- Author, writer, addressee, creator, originator
- Procedure(절차):
- Draft(초안), fair copy, Registration, Validation(검증)
- Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
- Protocol, Text, Eschatocol(에샤토콜)
- Archival bond
- Originary, Necessary, Determined
- Archives consistency(아카이브 일관성)
- Status of transmission (제출본의 상태)
- Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
- Copy(사본)
- Trustworthiness(신뢰성)
- Reliability, Authenticity
- Accuracy(정확성)
- Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
- Authentication(인증)
조사 모델
- 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
- 디지털 흔적 → 사람의 행위를 재구성
- 시작 : 특정한 이벤트, 흔적 관찰
- 이벤트 발생 원인 규명
- 알려진 것인가?
- 조작된 것은 아닌가?
- 진술한 사람을 믿을 수 있는가?
- 이벤트 관련 흔적 검색, 검색, 검색
- FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
- 역공학 필요
- Black box 분석 → 실험에 의한 확인
- Gray box 분석
- 남아 있는 것만으로 모든 것을 증명할 수는 없다.
Author And Source
이 문제에 관하여(디지털 포렌식 증거 조사 #4), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://velog.io/@soddokayo/디지털-포렌식-증거-조사-4저자 귀속: 원작자 정보가 원작자 URL에 포함되어 있으며 저작권은 원작자 소유입니다.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)