정보보안

문제6) 디지털 포렌식 포렌식 (Digital Forensic)의 증거수집기술 중 하나인 파일 카빙 (FC: File Carving)에 대하

여 설명하시오

 

가. 파일 카빙에 대한 개념

나. 파일 카빙의 카빙의 4종류 기법 특징

 

답)

 

 

1. 디지털 포렌식 증거수집기술, 파일 카빙의 중요성

 

디지털 범죄의 증거와 안티 포렌식 기술 등의 발전으로 디지털 증거 획득을 위한 파일 카빙 기법의 중요성 증대

 

2. 데이터 복구기법, 파일 카빙에 대한 개념

가. 파일 카빙의 개념 및 특징

 

개념	파일 시스템의 메타 정보가 손상되거나 삭제되었을 경우 파일 자체의 바이너리 데이터에서 의미있는 정보를 획득하여 저장 매체의 비할당 영역으로부터 파일을 복구하는 기법
특징	메타 데이터 손상 시 파악 복구 방법 파일의 고유 특성인 시그니처, 파일 구조체, 헤더정보 등을 활용 저장 매체의 공간할당에 따라 연속적 카빙과 비연속적 카빙 방법 수행
파일 카빙은 파일시스템의 메타영역을 활용하지 않고, 파일의 고유 특성만을 이용한 파일 복구 기법임

 

나. 파일 카빙 알고리즘 설명

 

알고리즘설명	① 복구 대상 파일 확인 ② 파일의 시그니처 및 구조를 통해 연속 파일인지 비연속(조각난) 파일인지 확인 ③ 연속된 파일의 경우 연속 파일 카빙, 조각난 파일의 경우 비연속 파일 카빙 방법 수행
파일 카빙은 파일의 단편화 여부에 따라 연속적 카빙이나 비연속적 카빙 방법으로 수행됨

 

3. 파일 카빙의 4종류 기법의 특징

가. 파일 카빙의 4종류 기법 분류

 

파일 카빙은 시그니처 기반 및 구조체 기반의 4가지 기법으로 분류할 수 있음

 

나. 파일 카빙의 4종류 기법의 특징

 

구분	기법	특징
파일 시그니처 기반	Header/Footer	파일의 Header 와 Footer 검색 파일 포맷별(JPEG, PNG, PDF 등) 고유 시그니처 활용 시그니처 크기가 작거나 일반적인 경우 오탐 가능성 존재
	Header/Ram Slack	파일의 Header 와 Ram Slack 검색 파일의 크기가 512 배수가 되지 않아 0x00(NULL)으로 채워지는 영역인 Ram Slack 을 이용하여 오탐률 줄이는데 활용
파일 구조체 기반	Header/File Size	파일의 Header 검색 Header 기준으로 파일 사이즈 및 블록수 계산
	File 구조 검증	파일의 고유 특징(ASCII, MIME)을 활용 주로 문서기반 파일(MS-Office, ZIP 등)의 고유한 계층구조 시그니처 검증 구조의 복잡성에 따라 많은 시간 소요되므로 성능에 영향을 미치지 않은 범위에서 활용
파일 카빙은 단편화(fragmentation)된 파일을 복구하는데 한계점이 있으며, 비연속 파일 카빙을 위한 시나리오 및 도구 등 지속적 연구/개발 필요

 

4. 디지털 포렌식의 효율적인 증거수집을 위한 제언

 

파일 단편화 문제 극복을 위한 파일 카빙의 기술력 증대와 사용자 행동 분석 등을 접목한 포렌식 수집 기법 활용 필요

 

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥