디지털 포렌식 개론

조사 대상 기준
- 컴퓨터 포렌식
- 임베디드 포렌식
- 네트워크 포렌식

데이터 유형
- 활성 데이터
- 파일 시스템
- 데이터 베이스
- 응용 프로그램 사용흔적 데이터 : 웹 브라우저, 이메일 로그 등등
- 로그 데이터
- 악성코드
- 암호, 은닉 데이터

무결성 증명 방법
- 해쉬함수 이용 : 해쉬 값이 일치하는 검사하여 증명

진정성 : 법정에 제출되는 증거들은 현장에 있어야할 것.
+a 진정성 유지를 위한 절차를 연계보관성.

디지털 데이터는 휘발성 데이터와 비휘발성데이터로 나뉨.
분류 기준 = 전원 차단 여부

궁금한 점 : 메타데이터란 무엇인가, 미사용 공간에 있는 데이터 조각은 구체적으로 무엇인가

타임라인 분석 기법
- 시간순으로 발생한 이벤트들을 나열하는 기법

물리적 단위
01011110 -> 비트를 8개씩 묶은 것이 바이트
비트는 0, 1

논리적 단위
필드 : 여러 개의 바이트, 워드로 이루어짐.
        논리적 단위의 최소

파일은 필드의 집합
데이터 베이스는 레코드의 집합

1바이트는 0~255까지의 수를 표현할 수 있다.

 01011110      10100001

(큰 자리 수)   (작은 자리 수)   ->  빅엔디언방식 (우리가 흔히 사용하는 숫자 나열)

                                             

 01011110        10100001

(작은 자리 수)   (큰 자리 수) -> 리틀엔디언 방식 (빅엔디언방식의 반대

 

16진수와 대응할 때는 니블(4비트) 단위로 한다.

 

0000 -> 0

0001 -> 1

 

유니코드는 'U-'를 붙여서 표현한다. ex) U-0000007F

 

UTF-8은 31비트 유니코드를 1~6개의 바이트에 나누어 저정하는 방식이다.

 

UTC time은 윤초를 보정한 국제 표준시

Local time은 현지 시간이다. / 서울의 local time은 UTC+9이다.

 

0000000 0000 00000

년도(7)   월(4)   일(5)   -> 날짜는 총 2바이트로 나타냄.

 

00000 000000 00000

시(5)   분(6)    초(5)   ->   시간도 총 2바이트로 나타냄.