요즘은 컴퓨터를 사용하지 않는 곳이 없다고 봐도 무방하다. 우리가 만들거나 받은 파일들 또는 프로그램 등을 저장하기 위해서는 저장장치가 필수적이다. 이러한 저장 장치는 컴퓨터 내부에 내장되거나 휴대하며 외부 저장 장치로 사용할 수도 있다. 언제 어디서나 연결할 수 있는 장치만 있다면 저장 장치에 저장되어 있는 파일 등을 열어볼 수 있어서 편리하다. 저장장치란 파일이나 애플리케이션 등과 같은 데이터들을 저장하는 창고 같은 역할을 하는 장치를 뜻한다. 각각의 저장 장치는 생김새가 다른 것 같이 각각의 특징도 다르다. 그 특징들을 지금부터 살펴보고자 한다. USB 메모리 USB 메모리는 가장 흔히 그리고 가장 많이 사용되는 저장 장치라고 할 수 있다. USB 커넥터와 플래시 메모리가 결합된 제품을 말한다. 언..

안녕하세요. 명디지털포렌식센터 입니다. 저희 명디지털포렌식센터에서 자체개발한 기업기술보호 포렌식 프로그램 개발이 완료 되었습니다!!! 이번에 개발된 프로그램은 디지털 포렌식에 대한 전문지식이 없더라도 누구나 손쉽게 사용할 수 있도록 편의성을 크게 향상시켰는데요, 특히 기업의 전산을 관리하거나 정보보호를 담당하는 분들의 접근성을 고려하여 사용자의 부정행위에 대한 징후를 초기에 식별 할 수 있도록 제작하였습니다 !! 뿐만 아니라 USB에 프로그램을 휴대하면서 원하는 컴퓨터의 기록을 확인할 수 있도록 휴대성까지 놓치지 않았다니.. 대단하지 않나요?! 프로그램 소개 이번에 제작한 기업기술보호 포렌식 프로그램은 윈도우 운영체제에서 발생하는 기록을 확인하기 위해 제작되었는데요, 내 컴퓨터에서 삭제된 데이터에 대한 ..

PowerShell 5.1 vs PowerShell 7.x xxx년 xx일 PowerShell 7.1 버전이 릴리즈 된 것으로 시작으로 현재 7.3 버전이 프리뷰(Preview) 단계에 올라 와 있다. PowerShell 7.x 버전은 PowerShell 5.1의 단순 업데이트 버전이 아니라 새로운 프로젝트로 설계되었으며, 이로 인해 기존의 5.1 버전을 사용하던 유저들이 7.x 버전으로 마이그레이션 할 경우 생기는 몇 가지 문제점이 야기되었다. 이 둘의 관계는 Python 2.7 과 Python 3.x 버전의 관계로 이해하면 편한데, Python 3.x 버전이 기존 버전을 대체하기 위해 개발 및 출시되었지만 Python 2.7 버전의 모든 것을 호환하지 않는 것처럼, PowerShell 5.1 에서 잘..

EnCE Phase I 사전 지식 EnCE(EnCase Certified Examiner) 자격증 시험은 필기와 실기 두가지 단계로 구분된다. 필기 시험에서 80% 이상 득점을 해야 실기 시험에 도전할 수 있는 기회가 주어진다. 정보처리기사, 정보보안기사 등 국내에서 "국가공인" 타이틀을 달고 발급 중인 국가공인 기술 자격증조차도 합격선이 60%라는 사실에 비추어 보면, 일개 벤더 자격증이 요구하는 수준 치고는 꽤나 높은 듯 하다. 그렇다고 해서 필기 시험의 난이도가 낮은 것도 아니기 때문에 300 달러라는 거금이 증발되지 않도록 철처하게 준비하는 것이 좋다. Phase I 은 총 174개 문항(해외 수험자 기준)을 두 시간 동안 풀이하도록 진행된다. 평가 범위는 「DF120 - Foundations i..

EnCE (EnCase Certified Examiner) 자격증 응시 요건 EnCE(EnCase Certified Examiner) 자격증을 주관하는 OpenText는 응시자에 대한 자격 요건을 명시하고 있다. 응시자는 64시간의 '인증된' 컴퓨터 포렌식 교육에 참석하거나, 12 개월의 컴퓨터 포렌식 관련 경력을 증명해야 한다. 이 응시요건을 충족하지 못한 지원자들에게는 안타까운 소식이지만, EnCE 자격증 시험을 응시조차 할 수 없다. 특히 12개월의 컴퓨터 포렌식 관련 경력을 요구함으로써 EnCE 자격증이 남발되는 상황을 원천 차단하였을 뿐만 아니라 EnCE 자격을 받기 위한 허들을 높혔다고 생각해 볼 수 있다. 컴퓨터 포렌식 관련 경력이 없는 지원자들은 '인증된(authorized)' 컴퓨터 포렌..

Windows Event Log Windows 운영체제는 시스템에서 발생하는 거의 모든 활동을 기록한다. 사용자 또는 시스템 자체적으로 발생하는 어떠한 '활동'을 운영체제가 '이벤트(event)'로써 감지하며, 이러한 이벤트가 발생한 사실을 운영체제에서 지정한 파일에 저장한다. 컴퓨터를 이용해서 '무엇을 했는지'를 알아보기 위해서는 상당한 노력이 필요하지만, 단순히 시스템의 사용 여부를 알아보기 위해서는 「Windows Event Log」에 대한 분석만으로 충분하다. 시스템의 실행/종료를 기록하는 이벤트 로그와 사용자의 로그온/로그아웃을 기록하는 이벤트 로그를 최대한 많이 수집할 수만 있다면, 퇴사자 A씨의 컴퓨터 사용 행태를 추론해 보는 것도 어렵지 않은 일이다. 이벤트 로그를 수집하고 추출하는 것은 ..

Cluster 물리적 최소 단위인 섹터는 논리적 최소 단위인 「클러스터(Cluster)」로 묶여서 사용된다. 이전 포스트에서 언급한 'Block' 의 개념이 바로 클러스터이다. 앞서 클러스터의 탄생 이유를 무결성의 측면에서 먼저 살펴보았지만, 사실 그 보다 더욱 중요한 이유가 있다. 바로 '속도'와 '효율성'이다. 읽기 · 쓰기의 가장 기본적인 최소 단위인 섹터는 입출력의 단위로 사용되기에는 너무나도 작은 단위이다. 데이터의 입출력 단위가 작을수록 하드디스크의 헤드가 움직여야 하는 물리적 운동 횟수가 증가하고, 이는 파일 입출력에 심각한 속도 저하를 유발한다. 따라서 사용자의 입장에서 가장 중요한 요소인 속도를 취하기 위해 저장공간의 효율성을 담보로 클러스터라는 개념을 도입한 것이다. 클러스터 하나의 크..

30년 전통의 데이터 복구 & 디지털 포렌식 名家 저희 명디지털포렌식센터는 1990년 창립 이후 현재까지 30년이 넘는 세월 동안 데이터 복구 선두주자의 위상을 굳건히 지켜온「(주)명정보기술」산하의 디지털 포렌식 전문부서입니다. 뿌리 깊은 역사와 대체불가한 기술력, 그리고 수십 년에 걸쳐 쌓아 온 다양한 사례 및 노하우를 보유함으로써 경찰청 · 국방부조사본부 · 국정원 등 다양한 정부 조직과 업무 협약을 맺고 있을 뿐만 아니라, 수 차례의 국가 재난 극복에 동참하여 업계 1위의 가치를 끊임없이 증명해 왔습니다. 2009. 12 HDD 포렌식용 쓰기방지장치 특허 획득 2010. 03 천안함 CCTV 영상 데이터복구 수행 성공 2013. 03 3.20 전산대란 데이터복구 수행 성공 2014. 06 세월호 C..

Sector 데이터는 물리적으로 「섹터(sector)」라는 공간에 저장된다. 그리고 섹터는 흔히 "하드디스크의 물리적인 최소 단위"로써 정의된다. 다시 말해, 응용 프로그램이 생산한 데이터 집합인 파일은 모두 이 섹터 공간에서 읽기 · 쓰기· 삭제 등의 작업이 이뤄진다. 섹터는 512 Byte로 고정되어 있고, 이보다 더 작은 저장 단위는 없기 때문에 단 1 byte의 데이터라도 1개의 섹터를 사용하여 저장한다. 511 byte의 공간이 낭비되는 것이다. ​ 그렇다면 과학자들은 무슨 이유로 이 비효율적인 것처럼 보이는 섹터라는 단위를 고안해 내어 하드디스크의 저장 구역을 나눈 것일까? 그것을 알기 위하여 초창기의 데이터 기록 방식을 살펴볼 필요가 있다. ​ The Origin of Sector 탄도 계산..

국제 공인 디지털 포렌식 자격증 「EnCE (EnCase Certified Examiner)」 자격증은 국제 공인 디지털 포렌식 자격증이라고 해도 과언이 아니다. 지금 당장 해외의 유명한 구인 사이트인 indeed에 "Digital Forensic" 키워드로 검색을 해 봐도 디지털 포렌식 조사관을 구인 중인 수많은 기업들이 지원자에게 EnCase 숙련도를 기본 자격으로 요구하는 것을 발견할 수 있다. 대놓고 EnCE 자격증 보유를 기본 요건으로 하는 구인 글도 간간히 찾아볼 수 있는데, Axiom, X-Ways와 같이 연일 상한가를 달리고 있는 최신식 프로그램들의 틈바구니 속에서 EnCase가 끈질기게 살아남아 그 명맥을 유지하고 있는 이유를 진지하게 고민해 볼 필요가 있다. Vendor-Specific..