디지털 포렌식 증거 조사 #4

2021-10-12-디지털포렌식개론-4주차.md

1. A Theoretical Examination Framework

A Theoretical Examination Framework

(이론적인 조사 프레임워크)

Digital Forensic Evidense Examination #4

Galdyshev의 모델

• The reconstruction of event sequences (이벤트 시퀀스의 재구성)
  • 조사 대상 시스템 → FSM
  • 유용한 증거 → evidential statement (증거 진술)
  • Event reconstruction (이벤트 재구성) → FSM에서 evidential statement에 대한 가능한 모든 설명을 찾는 문제
  • 사건 동안 발생한 event
    • backtracing transitions leading to the final state x
      (최종 상태 x로 이어지는 역추적 전환)
    • discarding seq. of transitions that disagree with the available evidence
      (사용 가능한 증거로 받아들여질 수 없는 전환들의 시퀀스를 버린다)
• 가정
  • 일부 time picture를 관찰할 수 있음
  • partitioned run (분기 실행) : 이벤트 수열
• Evidence : $(P, Min, Opt)$

Carrier의 모델

• Extended FSM : FSM + removable devices (이동식 장치)
  • Primitive history (원시 이력) : the complete sequence of primitive states and events that occurred (발생한 원시 상태 및 이벤트의 완전한 시퀀스)
  • Complex history (복합 이력) : the complete sequence of complex states (복합 상태의 완전한 시퀀스)
• 조사 절차 : observation(관측), hypothesis(가설), prediction(예측), testing(테스트)
• 분석 기법 분류
  • {primitive(원시)/complex(복합)} X {event(이벤트)/state(상태)} at relevant times (관련 시간)
  • consistent (일관됨) → hypothesis is confirmed (가설이 확인됨)
  • Inconsistent (일관되지 않음) → hypothesis is refuted (가설이 반박됨)

Kwan et. al.의 모델

1. Legal requirement ($L:\{l_1, …, l_n\}$
2. 임의의 $l$에 대해서 evidence chain $E:\{E_1,…,E_o\}$
3. 각 evidence에 가중치 $W_x = (w_{x_1}, …, w_{x_p})$
4. 조사 시작, 비용을 들여 탐지하고 가중치가 임계치를 초과하면 다음 단계로 진행, 임계치 보다 낮으면 버림
5. 범죄 발생 방식에 대한 가설 검증 : Bayesian network

• 최소 비용 최대 효과를 달성

조사 모델

• Legal Context $(L, R, V) → (F|T)$
• $H$: a set of hypothesized claims (가설 주장의 집합)
• $E$: set of events within and outside of the digital system (디지털 시스템 내부 및 외부의 이벤트 집합)
• $T$: Traces from the DFE (디지털 포렌식 증거에 의한 흔적)
  • $C$: internal consistency (내적 일관성)
  • $D$: consistency with events (이벤트들과의 일관성)
• $P$: the forensic procedures (포렌식 절차)
  • $R$: resource (자원)
  • $S$: schedules (스케쥴)
• Result : support(지지) (1), refute(반박) (-1), orthogonal(독립) (0)
• $L$: law(법률) is associsted with a violation $V$(위반)
  (법률은 법률 위반과 관련됨)
  - $L=\{l_1, …, l_n\}$
• 각 $l_i$
• The hypothesized Claims $H = \{H_1, …, H_n\}$
• The hypothesized Event claims $E: \{E_1, …, E_o\}$
• The Traces $T:\{t_1, …, t_q\}$

포렌식 절차

• 절차: 적정한 방법과 적합한 도구의 사용으로 실행됨
  • $T$의 부분 집합에 대해 적용됨
  • 각 절차는 오탐과 미탐 발생 가능
  • 모든 당사자에게 (이론적으로) 유용해야 함
• 자원
  • $R$(Resources) 은 유한함, 시간, 돈, 능력, 전문지식 → 최적화 필요
  • $S$(Schedule)
    • 한정된 일정 내에 변론과 반론을 수행
    • 새로운 증거의 제시 또는 배제
  • 절차는 자원을 소모
    • 재판관할의 변경
    • 예산, 시간의 한계
    • 상반되는 증거의 발견
    • 증거 검토 후 위조된 증거 발견
  • 한정된 자원을 이용하여 최대한 많이 분석해야 함

조사 모델에 대한 검토

• $L$(법률)은 유한함, $R$(자원)은 단순하게 표현가능
• $H$(가설)는 무한하지만, 특정 건에서는 확정되고, 일정기간 후에는 변경 불가
• $E$(증거)는 많을 수 있지만 대부분 수천개 이내이며, 녹취 또는 증언 과정에 확정
• $T$(흔적)는 수집된 것으로 한정됨, 축소해도 많음, 관련된 것만 보존
• $C$(내적 일관성) $= T^2$
• $D$(이벤트들과의 일관성) $= T \times 2^E$
• $P$(포렌식 절차): 정의된 시간 내에 $T$와 $E$에 적용되는 모든 가능한 작업
  • 모든 가능한 절차를 수행하는 것은 불가능
  • 법적 요건을 충족하면서 적정한 방법을 적절하게 적용
  • 검증된 도구를 사용
• 자원은 사건의 중요도에 따라 달라짐: 경미사건(?), 시간, 돈, 사람
• 재판 일정은 사건에 따라 다름
  • 수주에서 수년까지 다양

조사 모델의 한계

• 이론적인 프레임워크가 아님
• 조사자의 지식에 기반하여 유용한 도구를 사용하여 조사함
• 수학적인 구조가 필요하나 사람의 판단에 의존
• N명이 제한된 정보로 oppositional game을 하는 것과 유사
  • 아직 정립되지 않음, Deception plays a substantial part in legal strategiers (속임수는 법적 전략에서 중요한 역할을 함)
• 신뢰성, 오류율 등이 알려져 있지 않음
  • OS, SW 등은 거의 알려져 있지 않음 → test 범위가 작음
  • 통계적인 방법을 사용하나 디지털 시스템의 에러는 discontinuous(불연속적)
• 신뢰성
  • the use of redundancy for analysis (분석을 위해 중복성을 사용함)
  • 서로 다른 도구와 기술을 사용하여 별도로 검증
  • CFTT
• 정보 역학에 근거하여 모순성과 일치성 규명
• Translating words in event into testable statements (이벤트를 테스트 가능한 상태로 번역)

Diplomatics 관점의 모델

• Acts(행위):
  • 필기 → 기록
  • Probative records (증거가 될 수 있는 기록)
  • Dispositive records (처분할 기록)
  • supporting records (도움을 줄 수 있는 기록)
  • narrative records (이야기/서사 기록)
  • instructive records (실행 기록)
  • enabling records (활성화 기록)
• Persons(사람):
  • Author, writer, addressee, creator, originator
• Procedure(절차):
  • Draft(초안), fair copy, Registration, Validation(검증)
  • Medium(매체), Script, Language(언어), Special signs, Seals(봉인)
  • Protocol, Text, Eschatocol(에샤토콜)
• Archival bond
  • Originary, Necessary, Determined
  • Archives consistency(아카이브 일관성)
• Status of transmission (제출본의 상태)
  • Original(원본): Primitiveness(원시성), Completeness(완전성), Effectiveness(효율성)
  • Copy(사본)
• Trustworthiness(신뢰성)
  • Reliability, Authenticity
• Accuracy(정확성)
  • Truthfulness(진실성), Exactness(정확성), Precision(정밀성), Completeness(완전성)
• Authentication(인증)

조사 모델

• 사람의 행위 → 인터페이스 → 디지털 기기의 상태 변화, 흔적 생성
• 디지털 흔적 → 사람의 행위를 재구성
• 시작 : 특정한 이벤트, 흔적 관찰
• 이벤트 발생 원인 규명
  • 알려진 것인가?
  • 조작된 것은 아닌가?
  • 진술한 사람을 믿을 수 있는가?
  • 이벤트 관련 흔적 검색, 검색, 검색
• FSM은 의도된 대로 동작하는 것이 아니라 구현된 대로 동작한다
  • 역공학 필요
  • Black box 분석 → 실험에 의한 확인
  • Gray box 분석
• 남아 있는 것만으로 모든 것을 증명할 수는 없다.