컴퓨터 관련 범죄는 운영체제를 특정하지 않고 광범위하게 일어나고 있으며 그 유형 또한 다양하게 나타나고 있다. 정보화의 역기능으로 특정이익을 목적으로 공격하는 크래커나 여러 가지 목적을 가진 해커들의 공격은 정보화 사회로의 발전을 저해하는 걸림돌로 작용하게 되었고 이들에 대응하는 컴퓨터 범죄수사 기술은 개인의 사생활 보호와 함께 중요한 부분으로 거론되고 있다. 컴퓨터 포렌식 기술은 주로 시스템에 내장된 디지털 자료를 근거로, 어떤 행위에 대한 사실관계를 규명하고 증명하는 것으로 각종 디지털 자료가 법적효력을 갖도록 컴퓨터 범죄 행위 후에 이루어지는 시스템의 피해 분석 및 복구, 범죄 사실을 입증하기 위한 증거 수집을 목적으로 하고 있다. 운영체제를 특정하지 않고 발생하는 컴퓨터 범죄에 대하여 효과적인 조사가 이루어질 수 있는 방법을 제시하는 것은 매우 중요한 일이다. 최근 추적 및 증거물 획득을 원천적이고 자동화된 방법으로 얻을 수 있는 전문 도구들과 방법에 대한 연구들이 많이 등장 하고 있지만, 대부분의 컴퓨터 사용자들은 윈도우즈 운영체제를 사용하고 있기 때문에 전문 도구들과 연구 또한 역시 윈도우즈 운영체제를 주로 대상으로 하고 있다. 하지만, 특정 운영체제만을 대상으로 범죄가 발생하는 것은 아니며 ...
컴퓨터 관련 범죄는 운영체제를 특정하지 않고 광범위하게 일어나고 있으며 그 유형 또한 다양하게 나타나고 있다. 정보화의 역기능으로 특정이익을 목적으로 공격하는 크래커나 여러 가지 목적을 가진 해커들의 공격은 정보화 사회로의 발전을 저해하는 걸림돌로 작용하게 되었고 이들에 대응하는 컴퓨터 범죄수사 기술은 개인의 사생활 보호와 함께 중요한 부분으로 거론되고 있다. 컴퓨터 포렌식 기술은 주로 시스템에 내장된 디지털 자료를 근거로, 어떤 행위에 대한 사실관계를 규명하고 증명하는 것으로 각종 디지털 자료가 법적효력을 갖도록 컴퓨터 범죄 행위 후에 이루어지는 시스템의 피해 분석 및 복구, 범죄 사실을 입증하기 위한 증거 수집을 목적으로 하고 있다. 운영체제를 특정하지 않고 발생하는 컴퓨터 범죄에 대하여 효과적인 조사가 이루어질 수 있는 방법을 제시하는 것은 매우 중요한 일이다. 최근 추적 및 증거물 획득을 원천적이고 자동화된 방법으로 얻을 수 있는 전문 도구들과 방법에 대한 연구들이 많이 등장 하고 있지만, 대부분의 컴퓨터 사용자들은 윈도우즈 운영체제를 사용하고 있기 때문에 전문 도구들과 연구 또한 역시 윈도우즈 운영체제를 주로 대상으로 하고 있다. 하지만, 특정 운영체제만을 대상으로 범죄가 발생하는 것은 아니며 리눅스 운영체제에서도 많은 피해 사고가 발생하고 있다. 본 논문에서는 리눅스 운영체제에서 포렌식을 위한 증거획득과 시스템 분석을 위한 모듈을 설계하고 이에 대한 검증을 통해 리눅스 운영체제에서 보다 효과적인 포렌식 수사를 할 수 있도록 제안한다. 디지털 증거의 신뢰성은 디지털 증거가 법정에서 충분한 입증가치를 지니고 실체적 진실을 판단하는 척도로서 기능하기 전제조건으로써 디지털 증거는 가시성․가독성이 없을 뿐만 아니라 전문가가 아닌 일반인이 그 내용을 용이하게 확인할 수 없기 때문에, 전문가에 의한 처리절차의 입증과 원본데이터의 무결성 유지에 관한 절차적․기술적 보증방식이 필요하다. 디지털 증거의 신뢰성 판단을 위한 합의된 기준이 존재하지 않기 때문에 가장 일반적으로 사용되는 기준으로서 보관의 연속성(Chain of Custody)과 확실성의 척도(Casey's Certainty Scale)를 포렌식의 절차와 분석에 관한 기준으로 적용하였다. 본 논문에서 제안한 포렌식 분석에 대한 기법과 증거추출 모듈의 설계는 피해시스템에서 동작하는 최소한의 프로그램을 이용하여 휘발성 정보를 확보하고 인멸 및 손실될 수 있는 잠재된 컴퓨터 범죄의 증거들을 원천정보 확보 모듈로 시작하여 최대한 많은 정보의 획득을 가능하게 한다.
커널 루트킷과 일반 루트킷의 탐지는 침입자에 의하여 변조된 파일들과 설치된 해킹 도구들을 커널에 대한 직접접근을 통하여 수집된 정보를 분석 및 비교 커널의 변조 또는 시스템 명령어 변조 등의 상황을 판단하여 확인할 수 있다. 또한 task_struct는 프로세스가 현재 사용하고 있는 열려진 파일에 대한 정보를 포함하고 있기 때문에 소켓이 프로세스 내에서 열려진 파일로 취급되므로 열려진 파일을 추적하여 네트워크 정보에 접근할 수 있다. 공격자의 경로 확인을 위한 중요한 정보인 숨겨진 프로세스나 숨겨진 네트워크의 연결 정보는 task_struct부터 socket까지의 정보를 추적하면 접근할 수 있다. 삭제된 파일의 복구를 통한 증거의 획득은 파일을 삭제할 때는 index block에서 I-node와의 연결 부분을 삭제한다는 뜻이다. 이러한 연결정보를 확인한다면 파일의 손상으로 인한 내용확인이 어려운 경우와 고의적인 의도에 의한 파일의 삭제로 인한 경우에 대하여 I-node 정보를 활용하여 복구할 수 있게 된다. 삭제된 I-node에서 사용되었던 I-node의 확인과 사용되지 않았던 I-node의 구분 및 사용되었던 I-node 복구에 대한 모듈 설계를 통해 손상된 파일 및 삭제된 파일의 복구를 가능하게 하여 신뢰할 수 있는 포렌식 증거획득을 가능하게 했다. 시스템 분석 모듈은 피해 시스템에 대하여 원격지에서 로컬로의 공격에 의한 피해를 입은 시스템일 경우 로그에 관한 조사를 통하여 남아있는 흔적을 분석할 수 있는 위치를 제시 하였다. 또한 루트킷 분석은 LKM연결 리스트 주소를 추적하거나 LKM이 위치하는 주소의 시작위치부터 탐색하여 LKM을 찾아내는 방법으로 결과 값의 LKM 비교를 통해 숨겨진 LKM의 정보를 찾아 낼 수 있게 하였다.
컴퓨터 관련 범죄는 운영체제를 특정하지 않고 광범위하게 일어나고 있으며 그 유형 또한 다양하게 나타나고 있다. 정보화의 역기능으로 특정이익을 목적으로 공격하는 크래커나 여러 가지 목적을 가진 해커들의 공격은 정보화 사회로의 발전을 저해하는 걸림돌로 작용하게 되었고 이들에 대응하는 컴퓨터 범죄수사 기술은 개인의 사생활 보호와 함께 중요한 부분으로 거론되고 있다. 컴퓨터 포렌식 기술은 주로 시스템에 내장된 디지털 자료를 근거로, 어떤 행위에 대한 사실관계를 규명하고 증명하는 것으로 각종 디지털 자료가 법적효력을 갖도록 컴퓨터 범죄 행위 후에 이루어지는 시스템의 피해 분석 및 복구, 범죄 사실을 입증하기 위한 증거 수집을 목적으로 하고 있다. 운영체제를 특정하지 않고 발생하는 컴퓨터 범죄에 대하여 효과적인 조사가 이루어질 수 있는 방법을 제시하는 것은 매우 중요한 일이다. 최근 추적 및 증거물 획득을 원천적이고 자동화된 방법으로 얻을 수 있는 전문 도구들과 방법에 대한 연구들이 많이 등장 하고 있지만, 대부분의 컴퓨터 사용자들은 윈도우즈 운영체제를 사용하고 있기 때문에 전문 도구들과 연구 또한 역시 윈도우즈 운영체제를 주로 대상으로 하고 있다. 하지만, 특정 운영체제만을 대상으로 범죄가 발생하는 것은 아니며 리눅스 운영체제에서도 많은 피해 사고가 발생하고 있다. 본 논문에서는 리눅스 운영체제에서 포렌식을 위한 증거획득과 시스템 분석을 위한 모듈을 설계하고 이에 대한 검증을 통해 리눅스 운영체제에서 보다 효과적인 포렌식 수사를 할 수 있도록 제안한다. 디지털 증거의 신뢰성은 디지털 증거가 법정에서 충분한 입증가치를 지니고 실체적 진실을 판단하는 척도로서 기능하기 전제조건으로써 디지털 증거는 가시성․가독성이 없을 뿐만 아니라 전문가가 아닌 일반인이 그 내용을 용이하게 확인할 수 없기 때문에, 전문가에 의한 처리절차의 입증과 원본데이터의 무결성 유지에 관한 절차적․기술적 보증방식이 필요하다. 디지털 증거의 신뢰성 판단을 위한 합의된 기준이 존재하지 않기 때문에 가장 일반적으로 사용되는 기준으로서 보관의 연속성(Chain of Custody)과 확실성의 척도(Casey's Certainty Scale)를 포렌식의 절차와 분석에 관한 기준으로 적용하였다. 본 논문에서 제안한 포렌식 분석에 대한 기법과 증거추출 모듈의 설계는 피해시스템에서 동작하는 최소한의 프로그램을 이용하여 휘발성 정보를 확보하고 인멸 및 손실될 수 있는 잠재된 컴퓨터 범죄의 증거들을 원천정보 확보 모듈로 시작하여 최대한 많은 정보의 획득을 가능하게 한다.
커널 루트킷과 일반 루트킷의 탐지는 침입자에 의하여 변조된 파일들과 설치된 해킹 도구들을 커널에 대한 직접접근을 통하여 수집된 정보를 분석 및 비교 커널의 변조 또는 시스템 명령어 변조 등의 상황을 판단하여 확인할 수 있다. 또한 task_struct는 프로세스가 현재 사용하고 있는 열려진 파일에 대한 정보를 포함하고 있기 때문에 소켓이 프로세스 내에서 열려진 파일로 취급되므로 열려진 파일을 추적하여 네트워크 정보에 접근할 수 있다. 공격자의 경로 확인을 위한 중요한 정보인 숨겨진 프로세스나 숨겨진 네트워크의 연결 정보는 task_struct부터 socket까지의 정보를 추적하면 접근할 수 있다. 삭제된 파일의 복구를 통한 증거의 획득은 파일을 삭제할 때는 index block에서 I-node와의 연결 부분을 삭제한다는 뜻이다. 이러한 연결정보를 확인한다면 파일의 손상으로 인한 내용확인이 어려운 경우와 고의적인 의도에 의한 파일의 삭제로 인한 경우에 대하여 I-node 정보를 활용하여 복구할 수 있게 된다. 삭제된 I-node에서 사용되었던 I-node의 확인과 사용되지 않았던 I-node의 구분 및 사용되었던 I-node 복구에 대한 모듈 설계를 통해 손상된 파일 및 삭제된 파일의 복구를 가능하게 하여 신뢰할 수 있는 포렌식 증거획득을 가능하게 했다. 시스템 분석 모듈은 피해 시스템에 대하여 원격지에서 로컬로의 공격에 의한 피해를 입은 시스템일 경우 로그에 관한 조사를 통하여 남아있는 흔적을 분석할 수 있는 위치를 제시 하였다. 또한 루트킷 분석은 LKM연결 리스트 주소를 추적하거나 LKM이 위치하는 주소의 시작위치부터 탐색하여 LKM을 찾아내는 방법으로 결과 값의 LKM 비교를 통해 숨겨진 LKM의 정보를 찾아 낼 수 있게 하였다.
There is a wide range of cyber related crimes and they are not limited to any specific operating system. Increased attacks from crackers and hackers interfere with the continuing growth of our information based society and make cyber crime investigation and individual privacy protection a paramount...
There is a wide range of cyber related crimes and they are not limited to any specific operating system. Increased attacks from crackers and hackers interfere with the continuing growth of our information based society and make cyber crime investigation and individual privacy protection a paramount topic of discussion. The purpose of computer forensic technology is to use the system's built-in digital data to identify the crime and provide evidence for the legal process. It is also utilized in criminal analysis and restoration of the damaged system. It is important to develop a way to investigate attacks against the general operating system. There are many automated tools that track the source of crime and gather evidence, especially for the Windows operating system. However, the crimes are not always targeted for a specific operating system and the LINUX operating system is no exception.
In this paper I am proposing the development of modules for system analysis and for the gathering of forensic evidence within the LINUX operating system to improve computer crime investigation. The reliability of digital evidence is critical as it is used in court and needs to be easily recognizable and readable. Expert examination and creation of a formal protocol and validation is needed to maintain the integrity of the original data. Currently, there is no agreed-upon criteria for validating digital evidence. The most commonly used forensic investigation criteria are Chain of Custody and Casey's Certainty Scale.
The proposed technique for the analysis of forensic evidence and the design of the extraction module will use the damaged operating system to minimize the loss of data and to obtain empirical evidence. Kernel rootkits and general rootkits can be detected by analyzing the corrupted files and collected hacker installed tools to the changes in kernel and operating system commands. Because the task_struct includes open file information, the socket is treated as an open file and has the ability to track other open files to access the network. The hidden process and network information can be found by tracking from the task_struct to the socket. Therefore providing a "road map" of the hacker's path into the system. The recovered deleted files illustrates that the index block and I-node connection had been tampered with and by the very nature of their deletion can be used as evidence. Once the connection has been confirmed, it can use I-node information to recover damaged files. Obtaining trusted forensic evidence is possible by identifying the original I-node and comparing to the deleted I-node. Once established, it can be used in the recovery of damaged and deleted files. The system analysis module for damaged files caused by remote and local attacks will investigate log information to analyze the remaining evidence. In addition, rootkit analysis tracks LKM linked address list or start of LKM address location to search and find LKM. The result will be used to compare and find hidden LKM's information.
There is a wide range of cyber related crimes and they are not limited to any specific operating system. Increased attacks from crackers and hackers interfere with the continuing growth of our information based society and make cyber crime investigation and individual privacy protection a paramount topic of discussion. The purpose of computer forensic technology is to use the system's built-in digital data to identify the crime and provide evidence for the legal process. It is also utilized in criminal analysis and restoration of the damaged system. It is important to develop a way to investigate attacks against the general operating system. There are many automated tools that track the source of crime and gather evidence, especially for the Windows operating system. However, the crimes are not always targeted for a specific operating system and the LINUX operating system is no exception.
In this paper I am proposing the development of modules for system analysis and for the gathering of forensic evidence within the LINUX operating system to improve computer crime investigation. The reliability of digital evidence is critical as it is used in court and needs to be easily recognizable and readable. Expert examination and creation of a formal protocol and validation is needed to maintain the integrity of the original data. Currently, there is no agreed-upon criteria for validating digital evidence. The most commonly used forensic investigation criteria are Chain of Custody and Casey's Certainty Scale.
The proposed technique for the analysis of forensic evidence and the design of the extraction module will use the damaged operating system to minimize the loss of data and to obtain empirical evidence. Kernel rootkits and general rootkits can be detected by analyzing the corrupted files and collected hacker installed tools to the changes in kernel and operating system commands. Because the task_struct includes open file information, the socket is treated as an open file and has the ability to track other open files to access the network. The hidden process and network information can be found by tracking from the task_struct to the socket. Therefore providing a "road map" of the hacker's path into the system. The recovered deleted files illustrates that the index block and I-node connection had been tampered with and by the very nature of their deletion can be used as evidence. Once the connection has been confirmed, it can use I-node information to recover damaged files. Obtaining trusted forensic evidence is possible by identifying the original I-node and comparing to the deleted I-node. Once established, it can be used in the recovery of damaged and deleted files. The system analysis module for damaged files caused by remote and local attacks will investigate log information to analyze the remaining evidence. In addition, rootkit analysis tracks LKM linked address list or start of LKM address location to search and find LKM. The result will be used to compare and find hidden LKM's information.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.