사용자 삽입 이미지
메모리 포렌식에 대해서 살펴 보다가 익히 알고 있던 Volatility Framework,  F-Response 외에 다른 것들도 많이 보여서 올립니다.

Sans Blog - 산스 블로그로 여러기지 도구들을 설명하고 있으며 관련 스냅삿도 일부 첨부중
https://blogs.sans.org/computer-forensics/2008/12/13/windows-physical-memory-finding-the-right-tool-for-the-job/


Security Ripcord
- 역시 전문가의 설명은 착착 붙습니다.~
http://www.cutawaysecurity.com/blog/archives/523

Center for Information Technology Policy - 프린스턴대에서 램을 냉매제에 넣어 얼릴고 나면 거기에 데이터가 사라지기 않고(대량 1분남짐 잔여) 있다가 그걸 분석한다는 내용입니다. 작년 상반기 쯤에 애기 나왓던 건데 이것도 메모리 포렌식이 될수 있겟지요? -,.-
포렌식 실무자들 입장에서는 웃음만 나올지도~~ ㅎㅎㅎㅎㅎ
http://citp.princeton.edu/memory/media/

관련뉴스
http://www.boannews.com/media/view.asp?page=1&idx=10384&search=&find=&kind=1

메모리 포렌식이 증가하는 추세의 원인이 HDD의 대용량(1테라의 급속한 보급) 문제로 인한 디스크 이미징 시간 문제, 그리고 현장에서 바로 뽑아내는 증거가 더 크다는 것도~~

하지만 법적인 측면에서 보면 형법에서 크게 문제가 되는 부분이 있는데 디지털증거가 대체로적으로 형법상(전문법칙의 원인, 범관 자유심증)에서는 증거로 채택되지 않은 부분이 많이 있기 때문이라고 합니다.

열심히 증거 수집하고 리포팅 해도 법에서 아니라고 하면 아닌게 되는 겁니다. ~ 제 3자가 본다면 대부분이 법에는 문제가 없고 증거 수집과 분석이 제대로 되지 않아 생긴 문제로 보는 경향이 많이 있다고 합니다.

특히 국내 관련 회사가 이런 법률문제로 피해를 법정에서 져서 피해를 봣다는 소문도~~

앞으로 디지털 포렌식에 관한 법률 문제도 정리가 된다면 좋겠습니다.

신고

'[☩ Forensics ☩]' 카테고리의 다른 글

FireFox Forensics 도구  (4) 2009.07.16
E-Discovery 으로 본 구글기업용 검색엔진  (0) 2009.07.16
메모리 포렌식 도구들  (10) 2009.07.06
Raptor Forensic CD  (0) 2009.07.03
SMART Linux  (2) 2009.06.11
사설탐정(민간조사원)  (7) 2009.06.11

댓글을 달아 주세요

  1. Favicon of http://etude.textcube.com BlogIcon 사샷 2009.07.06 10:10 신고  Comment Address  Edit/Delete  Comment Write

    개인적으로는 메모리 덤프는 메모리의 휘발성 성질 때문에 HDD 덤프보다는 상대적으로
    어려울것 같은데 음..

    걍 막 끌수 없는 사내 워크스테이션/서버 같은 경우에는 취약하다고할수는 있겠지만요..

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.07.07 20:44 신고  댓글 달기  수정/삭제

      사샷님 말씀 맞습니다. 현실적으론 힘든 부분이 많습니다. 하지만 램이 ROM 기능을 하는 것들이 속속 나오고 있고 보급이 어느정도 되면 굳이 라이브 포렌식 안해도 다 잡아 내지 않을까 라는 생각이 듭니다.

      NVRam 위 에 같은 특성을 지니고 있다고 합니다.
      자세한 설명은 여기에 있습니다.~~
      http://ko.tech-faq.com/nvram.shtml

  2. Favicon of http://ykei.egloos.com BlogIcon 용기백배 2009.07.07 16:38 신고  Comment Address  Edit/Delete  Comment Write

    전문가의 설명이 착착 붙는건 뎅꽁이님께서 너무 잘 받아들이시는거 아닌가요? ^^;

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.07.08 20:24 신고  댓글 달기  수정/삭제

      용기님 말씀에 몸이 오그라 듭니다.~~~ O..O

      아직 모르는게 많아서 늘 귀 기울이는 자세로 생활하고 있습니다.^^ 용기백배님 장마조심하십시요~~(자꾸 오타가 나서 다시 수정했습니다.~~ ㅡㅡ)

  3. n0fate 2009.07.21 14:15 신고  Comment Address  Edit/Delete  Comment Write

    포렌식은 법과 관련되어 있기 때문에, 법적이 효력이 없다면,

    해당 기술이 아무리 유용하더라도 아무런 인정을 받지 못하는 문제점이 존재합니다.

    그게 가끔은 진리를 습득하는 입장에서는 아쉽기도 하고요.

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.07.21 15:22 신고  댓글 달기  수정/삭제

      안녕하세요 ^=^ n0fate님 말씀에 동감합니다. 보통 포렌식은 법이다 라고 하는데 그법이 취약해서 결과물이 소용없는 지는 경우가 생기면 안되겟죠

      정말 노력해서 증거 잡아냇는데 법에서 그건 해당안되라고 하면.... 씁쓸하구만....요

  4. Favicon of http://fl0ckfl0ck.tistory.com BlogIcon 퍼덕퍼덕 2009.10.03 18:34 신고  Comment Address  Edit/Delete  Comment Write

    명백한 증거라면 증거수집절차에서 약간의 흠이 있더라도

    형법 상 증거중에서도 가장 증거능력을 요하는 유죄의 증거를 제외하고

    탄핵증거, 보강증거로는 사용될 수 있는 것으로 보입니다 ^^;

    다만 아직 이에 대한 명문의 판례나 규정이 없어서 지레짐작(?)으로밖에

    가늠할 수 없는게 아쉬울 뿐이군요 ^^;

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.10.03 19:45 신고  댓글 달기  수정/삭제

      역시 법을 전공하시는 퍼덕퍼덕님 말씀에 배웠습니다.

      관련사례를 아무리 찾아봐도 않나오고 논문을 찾아봐도 관련 법률 제도 개선이 많더라구요... 제가 못찾는 건지..

      혹시 알고 계시는 판례가 있으시면 부탁드립니다.^^

  5. Favicon of http://fl0ckfl0ck.tistory.com BlogIcon 퍼덕퍼덕 2009.10.04 19:28 신고  Comment Address  Edit/Delete  Comment Write

    과찬이십니다 ^^;
    뎅꽁이님 블로그 올때마다 너무 좋은자료가 많아서 감사하게 보고 있습니다 ^^

    디지털증거에 관한 판례는 아직 우리나라에서는 아시는 것처럼 몇개 안됩니다.
    그것도 유죄의 증거 이외에 탄핵증거나, 보강증거에 사용되는 판례는 아직 안나온 걸로 알고 있습니다.

    시간이 해결해주겠죠?? ^^;

    • Favicon of http://boanchanggo.tistory.com BlogIcon JQ 2009.10.05 09:56 신고  댓글 달기  수정/삭제

      아닙니다. 그저 창고 인걸요~ 그리고 관련 판례의 경우 외국에 몇개 있는거 같고 앞으로 국내도 인용을 많이 할테니 언젠가는 해결되리라 봅니다.