디지털 포렌식 증거 조사 #4

2021-10-12-디지털포렌식개론-4주차.md

  1. A Theoretical Examination Framework

A Theoretical Examination Framework

(이론적인 조사 프레임워크)

Digital Forensic Evidense Examination #4

Galdyshev의 모델

  • The reconstruction of event sequences (이벤트 시퀀스의 재구성)
    • 조사 대상 시스템 → FSM
    • 유용한 증거 → evidential statement (증거 진술)
    • Event reconstruction (이벤트 재구성) → FSM에서 evidential statement에 대한 가능한 모든 설명을 찾는 문제
    • 사건 동안 발생한 event
      • backtracing transitions leading to the final state x
        (최종 상태 x로 이어지는 역추적 전환)
      • discarding seq. of transitions that disagree with the available evidence
        (사용 가능한 증거로 받아들여질 수 없는 전환들의 시퀀스를 버린다)
  • 가정
    • 일부 time picture를 관찰할 수 있음
    • partitioned run (분기 실행) : 이벤트 수열
  • Evidence : (P,Min,Opt)(P, Min, Opt)

Carrier의 모델

  • Extended FSM : FSM + removable devices (이동식 장치)
    • Primitive history (원시 이력) : the complete sequence of primitive states and events that occurred (발생한 원시 상태 및 이벤트의 완전한 시퀀스)
    • Complex history (복합 이력) : the complete sequence of complex states (복합 상태의 완전한 시퀀스)
  • 조사 절차 : observation(관측), hypothesis(가설), prediction(예측), testing(테스트)
  • 분석 기법 분류
    • {primitive(원시)/complex(복합)} X {event(이벤트)/state(상태)} at relevant times (관련 시간)
    • consistent (일관됨) → hypothesis is confirmed (가설이 확인됨)
    • Inconsistent (일관되지 않음) → hypothesis is refuted (가설이 반박됨)

Kwan et. al.의 모델

  1. Legal requirement (L:{l1,,ln}L:\{l_1, …, l_n\}
  2. 임의의 ll에 대해서 evidence chain E:{E1,,Eo}E:\{E_1,…,E_o\}
  3. 각 evidence에 가중치 Wx=(wx1,,wxp)W_x = (w_{x_1}, …, w_{x_p})
  4. 조사 시작, 비용을 들여 탐지하고 가중치가 임계치를 초과하면 다음 단계로 진행, 임계치 보다 낮으면 버림
  5. 범죄 발생 방식에 대한 가설 검증 : Bayesian network
  • 최소 비용 최대 효과를 달성

조사 모델

  • Legal Context (L,R,V)(FT)(L, R, V) → (F|T)
  • HH: a set of hypothesized claims (가설 주장의 집합)
  • EE: set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
  • TT: Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
    • CC: internal consistency (내적 일관성)
    • DD: consistency with events (이벤트들과의 일관성)
  • PP: the forensic procedures (포렌식 절차)
    • RR: resource (자원)
    • SS: schedules (스케쥴)
  • Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
  • LL: law(법률) is associsted with a violation VV(위반)
    (법률은 법률 위반과 관련됨)
    - L={l1,,ln}L=\{l_1, …, l_n\}
  • lil_i
  • The hypothesized Claims H={H1,,Hn}H = \{H_1, …, H_n\}
  • The hypothesized Event claims E:{E1,,Eo}E: \{E_1, …, E_o\}
  • The Traces T:{t1,,tq}T:\{t_1, …, t_q\}

포렌식 절차

  • 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
    • TT의 부분 집합에 대해 적용됨
    • 각 절차는 오탐과 미탐 발생 가능
    • 모든 당사자에게 (이론적으로) 유용해야 함
  • 자원
    • RR(Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
    • SS(Schedule)
      • 한정된 일정 내에 변론과 반론을 수행
      • 새로운 증거의 제시 또는 배제
    • 절차는 자원을 소모
      • 재판관할의 변경
      • 예산, 시간의 한계
      • 상반되는 증거의 발견
      • 증거 검토 후 위조된 증거 발견
    • 한정된 자원을 이용하여 최대한 많이 분석해야 함

조사 모델에 대한 검토

  • LL(법률)은 유한함, RR(자원)은 단순하게 표현가능
  • HH(가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
  • EE(증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
  • TT(흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
  • CC(내적 일관성) =T2= T^2
  • DD(이벤트들과의 일관성) =T×2E= T \times 2^E
  • PP(포렌식 절차): 정의된 시간 내에 TTEE에 적용되는 모든 가능한 작업
    • 모든 가능한 절차를 수행하는 것은 불가능
    • 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
    • 검증된 도구를 사용
  • 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
  • 재판 일정은 사건에 따라 다름
    • 수주에서 수년까지 다양

조사 모델의 한계

  • 이론적인 프레임워크가 아님
  • 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
  • 수학적인 구조가 필요하나 사람의 판단에 의존
  • N명이 제한된 정보로 oppositional game을 하는 것과 유사
    • 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
  • 신뢰성, 오류율 등이 알려져 있지 않음
    • OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
    • 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
  • 신뢰성
    • the use of redundancy for analysis (분석을 위해 중복성을 사용함)
    • 서로 다른 도구와 기술을 사용하여 별도로 검증
    • CFTT
  • 정보 역학에 근거하여 모순성과 일치성 규명
  • Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)

Diplomatics 관점의 모델

  • Acts(행위):
    • 필기 → 기록
    • Probative records (증거가 될 수 있는 기록)
    • Dispositive records (처분할 기록)
    • supporting records (도움을 줄 수 있는 기록)
    • narrative records (이야기/서사 기록)
    • instructive records (실행 기록)
    • enabling records (활성화 기록)
  • Persons(사람):
    • Author, writer, addressee, creator, originator
  • Procedure(절차):
    • Draft(초안), fair copy, Registration, Validation(검증)
    • Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
    • Protocol, Text, Eschatocol(에샤토콜)
  • Archival bond
    • Originary, Necessary, Determined
    • Archives consistency(아카이브 일관성)
  • Status of transmission (제출본의 상태)
    • Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
    • Copy(사본)
  • Trustworthiness(신뢰성)
    • Reliability, Authenticity
  • Accuracy(정확성)
    • Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
  • Authentication(인증)

조사 모델

  • 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
  • 디지털 흔적 → 사람의 행위를 재구성
  • 시작 : 특정한 이벤트, 흔적 관찰
  • 이벤트 발생 원인 규명
    • 알려진 것인가?
    • 조작된 것은 아닌가?
    • 진술한 사람을 믿을 수 있는가?
    • 이벤트 관련 흔적 검색, 검색, 검색
  • FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
    • 역공학 필요
    • Black box 분석 → 실험에 의한 확인
    • Gray box 분석
  • 남아 있는 것만으로 모든 것을 증명할 수는 없다.

좋은 웹페이지 즐겨찾기