반응형

 ○ 목  차 ○

 

0.   Encase 개요

1.   Encase 설치

2.   Case 관리

3.   Add Device

4.   기존 Case 파일 분석

5.   Encase Concepts

6.   파티션 복구 (Partition Recovery)

6-0. 볼륨 분석 (Volume Analysis)

6-1. 파티션 복구 원리

6-2. 파티션 복구 실습 (4 cases)

7.   웹 히스토리 분석 (Web History Analysis)

8.   파일 시그니쳐 분석 (Signature Analysis)

9.   해쉬 분석 (Hash Analysis)

10.   링크파일 분석 (Shortcut Analysis)

11.   참고문헌

12.   도움주신 분들 

-      이지스원 시큐리티 보안팀장 김 태 일

-      이지스원 시큐리티 연구원   이명수, 주한익

-      경찰수사연수원 사이버 교수 유   

-      국립 경찰 대학 사이버 교수 장 윤 식

-      육군 사관 학교 사이버 교관 유 정 호

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 29. 01:57
반응형

 

10.    Shortcut Analysis

 

10-1.    Link Files 분석 개요

-      바탕화면, 최근문서, 시작메뉴, Send to 폴더 등에는 shortcut 형태의 증거들이 있다. Shortcut 파일들은 타겟 파일(어플리케이션, 디렉토리, 데이터 파일, 프린터 등)에 대한 정보를 가지고 있다. 이를 분석하여 필요한 정보를 추출해낼 수 있다.

 

10-2.    Link File 생성 시기

-      사용자가 의도적으로 생성시

-      프로그램 설치시

-      (explorer)이나 OS가 파일 실행시

 

10-3.    Link File 골라내기 (Condition 기능 이용)

Conditions - Extention - Match – lnk

Conditions - FileType - equal to - LINK 로 등록하여 확인

 

 

 

 

10-4.    Link File 활용 (Link File MAC Time 정보)

Link파일 안에는 Link file 생성 당시의 타겟 파일의 MAC Time 정보(CAM 정보)가 기록되어 있다.

a.     Windows : Created, accessed, modify

b.    Linux : Modify, accessed, changed

 

 

 

Windows에서 개개의 날짜/시간 정보는 8bytes, Link File에서 MAC Time 정보는 Offset 28번에서부터 24bytes에 표현된다.

File Created Time (타겟 파일 생성 시각)Last Written (마지막 수정 시각)이 몇 초 차이나는 경우에는 해당 파일의 '다운로드' 가능성을 의심해볼 수 있으며, 이 두 시각이 동일할 경우 '복사' 가능성이 있다.

 

  

 

USB PC에 꽂아 어떤 파일을 설치 또는 사용하였는지 여부를 확인하여 인지사실에 대한 증거로 사용하려는 경우, Link File의 시간정보를 가지는 Volume Serial Number (타겟 파일의 위치를 나타내는 값 앞 10을 찾고 그 전 4바이트) USB 파일시스템 내부의 Volume Serial Number를 비교하여 찾을 수 있다. 해당 Target 파일이 들어있는 파일시스템의 Volume Serial NumberLink File에 부여되기 때문이다.

 

                        // Hex ‘10’을 찾은 후, 그 앞 4 bytesVolume Serial Number (Unicode)

 

 

// Encase Report 탭으로 확인한 Link File Volume Serial Number

 

이를 USB 파일시스템 내부의 Volume Serial Number와 동일한지 비교하여 추출한다.

 

 

 

 

 

11.    참고문헌

-      File System Forensic Analysis, Carrier  ,|Addison-Wesley, 2005.01.01

-      Encase Computer Forensics--the Official Ence (Paperback / 2nd Ed.)   (Encase Certified Examiner Study Guide), BuntingSteve  John Wiley & Sons Inc, 2007.09.12

-      Encase Forensic Academic Program Students Guide, Guidance

 

 

 

12.    도움주신 분들

-      이지스원 시큐리티 보안팀장 김 태 일

-      이지스원 시큐리티 연구원   이명수, 주한익

-      경찰수사연수원 사이버 교수 유   

-      국립 경찰 대학 사이버 교수 장 윤 식

-      육군 사관 학교 사이버 교관 유 정 호

 

 

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 29. 00:25
반응형

 

9.   Hash Analysis

 

9-1.       Hash 함수

-      임의의 메시지를 입력 받아 고정된 사이즈의 결과값을 출력한다. 고정된 사이즈는 어떤 알고리즘을 사용하느냐에 따라 달라짐 MD5 128비트이다.

-      h=H(M)    :   Hash value 또는 Message Digest(메시지 요약)를 사용하는

이유는 대체로 메시지 사이즈보다 Hash 사이즈가 작고, 동일한 메시지에 대해 항상 같은 결과가 나오기 때문이다.

-      h가 주어졌을 때 메시지 M의 내용이나 M과 관련된 어떠한 정보도 계산해 내거나 추출할 수 없는 단방향성을 지니고 있다. , 역함수가 없다.

-      Collision-resistance(메시지는 다른데 결과값이 같은 경우)는 거의 없다.

eg.  MD5) 1 / 340,282,366,920,938,463,463,374,607,431,768,211,456

 

 

9-2.       Digital Forensic 에서 Hash 함수의 용도

-      증거의 무결성을 검증하기 위해 사용한다.

디지털 증거는 조금이라도 조작되었을 경우 크게 다른 결과를 가져올 수 있으므로 무결성을 검증하는 것이 매우 중요하다.

 

 

9-3.       Hash 분석의 방식

  Negative Hash analysis

      1. 의의
        • Known-good hash set을 이용하는 hash 분석 방법
      1. 조사방법
        • 증거이미지에 포함된 파일의 hash값을 모두 발생
        • Known-good hash set과 비교하여 매칭되는 파일을 조사 목록에서 제거

 

  Positive Hash analysis

      1. 의의
        • Known-bad hash set을 이용하는 hash 분석 방법
      1. 조사방법
        • 증거이미지에 포함된 파일의 hash값을 모두 발생
        • Known-bad hash set과 비교하여 매칭되는 파일을 모두 조사

 

9-4.       Hash set

의의  : 선택한 파일의 해쉬값을 모아놓은 DB

종류

      1. Known-good Hash set

·         정상적인 파일의 hash 값 집합

·         조사할 필요가 없는 파일의 hash값의 Data Base

·         OS의 버전이 다양하기 때문에 만들기 힘들다.

·         c.f) NSRL(National Software Reference Library) : 미국의 NIST 산하에서 프로젝트로 만든 known-good hash set으로서, 우리나라 환경에는 잘 맞지 않지만 매우 유용하게 사용될 수 있다. 우리나라도 환경에 맞는 known-good hash set이 필요하다. (참조 : http://www.nsrl.nist.gov/)

                                     ii.        Known-bad Hash set

·         해킹에 사용된 툴, 악성코드 등 조사할 필요가 있는 파일의 hash값의 Data Base

 

9-5.       Empty파일(size 0인 파일) 제거

-      컴퓨터 상에는 size 0인 파일이 많은데, 이는 특정 파일이 특정 프로그램의 존재여부와 관련된 경우와 같이 조사가 필요한 특별한 경우가 아니면 조사할 필요가 없다.

-      Encase는 기본적으로 비어있는 파일에 대한 Hash값을 가지고 있다.

-      Hash 분석을 하면 기본적으로 Hash set에서 Empty file으로 분류한다. Category known으로 분류되어 있다.

-      c.f) Size 0인 파일 만들기 : (Windows) Fsutil file createnew [파일명] [size]

(Linux) touch [파일명]

 

 9-6.       Hash set 생성 실습 (Hash set은 생성 후 Rebuild 필요)

① View - hash set 에서 hash sets 탭을 만든다.

 

 

② Cases entry에서 해시 값 만들 파일들을 선택한 후 Search 기능 이용하여 hash값 만들어낸다.

// Selected items only  : 선택된 파일만

Compute hash value  : hash값 생성

 

// 다음과 같이 선택된 파일에 한해서 Hash Value가 도출된 것을 볼 수 있다.

 

 

③ Hash set 탭에서 New 기능을 통해 Hash set 추가

   (도출된 Hash값을 Known으로 등록)

      1. New hash set에서 Category Notable, Known 두 가지만 사용하는 것이 좋다. 이는 Guidance 권고사항으로, Enscript가 이 두 가지 Hash set을 가정하고 작성된 것이 많기 때문에 이를 활용하기 위함이다.

                                     ii.        Known  : Known-good Hash set

Notable : Known-bad Hash set

 

 

             // Hash Set이 만들어졌다.

Encase가 설치된 폴더의 Hash Sets 폴더에 저장되며, 복사 가능하다.

 

 ④ Rebuild 필요

Hash set 생성 후 당장은 사용이 안 된다. 해당 Hash set을 체크한 후 Rebuild 하거나(우클릭- Rebuild Library) 다시 껐다 켜야 한다.

 

 

9-7.       Hash set을 이용한 조사 실습 (Conditions 활용)

필요한 Hash set 선택 후, Search- Compute hash value 체크 -> Search!

 

우측 하단의 필터 pane을 이용하여 조사 파일의 양을 줄일 수 있다.

예를 들어, Hash category known인 것은 제거할 수 있다.

 

Condition : 해당 조건에 맞는 데이터만 보는 것이 가능하다.

(Enscript로 이루어짐. C++ 문법과 유사함)

 

 ③ Known Files 는 제외하고 필터링한 결과

 

 

④ Query 버튼을 누르면 조건이 적용된다.

 

선택적 적용은 Display 탭에서 체크한다.

 

  

 

참고 : Hash 카테고리 Known 인 파일을 제외시키는 Condition 만들기

                                      i.        New Condition (Name : Remove Known Files)

 

                                     ii.        함수 추가 New

(Properties : Hash Category, Operator : equal to, Value : Known)

 

 

                                   iii.        Not 적용

 

                                    iv.        직접 입력하여 생성된 Condition

 

                                     v.        이를 Run 해보면, Known Files는 제외되는 것을 볼 수 있다.

 

           // 적용 전

 

                     // 적용 후  : Known Files 가 보이지 않음

 

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 25. 11:53
반응형

 

8.   Signature Analysis

 

8-1.       개요

Signature Analysis는 확장자가 변경된 파일 식별이 주 목적이다.

대부분의 프로그램에서 확장자를 보고 파일 타입을 결정하는 것이 문제의 소지가 될 수 있으므로, 기록된 확장자와 파일의 실제 Signature 를 분석하여 일치하는 지를 확인하는 작업이다.

 

8-2.       Signature

어떠한 파일타입인지를 나타내는 코드

보통 파일의 앞 부분

JPG 의 경우 FF D8 , MP3 의경우 ID 3 로 시작함.

 

Encase View 메뉴에 가면 File Signatures 메뉴가 있다.

 

 

8-3.       Encase에서 Search (Verify file signatures 체크) 후 결과 표시

!Bad Signature

Signiature 손상

확장자 등록, Signatre 등록 X

Match

정상적인 파일

Signature와 확장자 일치

* [Alias]

확장자 변경

등록된 확장자, Signature 불일치 (명확한 조작)

Unknown

등록 X 파일

확장자, Signature 둘다 등록 X

 

 

8-4.       Signature Search 시 필터링

Signature contains [*]    :  *포함한 것

or Signature contains [!]  : 복합조건 (조건을 더 만든다.)

 

c.f) 복합조건 생성시 논리연산자가 자동으로 or 로 됨.

and 로 바꾸려면 ‘change logic’을 하면 된다. (우클릭 – logic)

 

 

8-5.       새로운 File Signature 등록 (Multimedia - new) : Rebuild 불필요함

 

 

                      예시 : Mp3 파일 등록

         // Option

Search expression - '\x49\x44\x33'

GREP - 16진수, 정규식 사용시

Case Sensitive - 대소문자 구별, Signature : ID3

 Extentions : mp3

 Name : mp3 Audio file

 

 

c.f) File Type DB가 별도로 있어 별도 등록 필요함. Viewer는 개별설정 가능함

 

 

 8-6.       File Signature 분석하는 방법

파일 표준이 있을 경우 분석자료를 참고한다.

파일 샘플을 여러 개 가져다 놓고 비교 분석한다.

파일 signature를 분석해놓은 사이트를 참조한다.

(eg. http://www.garykessler.net/library/file_sigs.html/)

 

 

8-7.       File Signature 확인 실습

 

Search Verify file signatures

 

② Searching



 

Finish

 

④ Result

 

 

 

8-8.       Signature 위치에 따른 파일 인식 여부

① Signature File의 시작이 아닌 중간에 위치한 경우 인식 여부 확인

  정상적인 JPG 파일 (VMware.jpg)

 

Signature를 중간으로 옮긴 경우 (VMware2.jpg)

 



 

File 내 여러 개의 Signature가 있는 경우 인식 여부 확인

정상적인 JPG 파일의 중간에 png 파일의 Signature 삽입 (VMware3.jpg)



 

Encase에서 인식 결과



-      Signature 를 중간으로 옮긴 (VMware2.jpg)의 경우 “! Bad signature

, Signature는 각 파일의 맨 앞에 위치하여야 함

-      Signature 가 중복된 (VMware3.jpg)의 경우 정상적인 JPG 파일로 인식함

, Signature는 각 파일의 맨 앞에 위치한 하나만 인식함

 

 

8-9.       MS Office File Signature

① 2003 ver. 이하 문서 (xls, doc, ppt)

-      Password 유무 상관 없이 동일한 Signature 지님 : 구분 불가능!

Signature : D0 CF 11 E0 A1 B1 1A E1

 

 



-      Encase에서는 세 개 파일 모두 동일한 File Signature에 등록되어 있음

Encase 에서는 xls, doc, ppt 모두 Compound Document File에 등록됨

따라서 이 세 개의 확장자 중에서 서로 바꾸는 경우에도 Match 로 인식됨

 



 

2007 ver. 문서 (xlsx, docx, pptx)

-      암호 유무에 따라 서로 다른 Signature 지님

암호가 없는 경우 공통 Signature : 50 4B 03 04

암호가 걸린 경우 공통 Signature : D0 CF 11 E0 A1 B1 1A E1 (2003과 동일)

 


-      Encase File Signature Table 에서 확인

암호가 없는 경우 공통 Signature : 50 4B 03 04 ZIP Compressed에 ‘zip, docx, pptx, xlsx’ 확장자와 함께 등록되어 있음. 따라서 상호간 확장자를 바꾸어도 Encase Match로 인식함

 



암호가 걸린 경우 D0 CF 11 E0 A1 B1 1A E1 2003의 경우와 동일하게 Compound Document File File Signature로는 등록되어 있으나, 확장자(xlsx, docx, pptx)는 등록되어 있지 않으므로 Encase * (Alias) 로 인식함

 



 

결론

Office 2003 문서(암호 유무 상관 X) Signature

= Office 2007 문서(암호 O) Signature

= ZIP 파일(암호 유무 상관 X) Signature

 

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 25. 11:37
반응형

 

7.   Web History Analysis

 


Web History 라는 것은 피의자가 어떤 웹사이트에 언제 접속했는가를 찾기 위한 중요한 단서가 된다. (웹히스토리는 사용자가 브라우저를 통해 웹을 방문할 때, 그 방문 접속 기록을 가지고 있는 파일들이다.) 그리고 실제 수사에서도 가장 많이 사용되는 기록 중에 하나이다.

 

 

예를 들어 특정 사용자의 웹 히스토리 중 위와 같은 폴더를 확인했을 때, 이 데이터로부터 조사관은 사용자가 gmail hotmail 이메일 주소를 가지고 있고, tdbanknorth라는 온라인 뱅킹을 이용하며, 디지털 포렌식 웹사이트에 관심이 있고, 아마도 Champlain에 있는 대학을 다니고, 그 지역 아파트에 대해 알아보고 있다는 추측이 가능하다.[i]

또한 다운로드 받은 파일을 마지막으로 저장한 폴더를 보여주는 경우, 조사관은 사용자가 파일들을 어디에 저장하는지 알 수 있으며, 이 밖에도 로그로 활용하기 위한 정보가 담겨있기도 하며, 이에는 웹 브라우져의 자동 로그온 아이디와 비밀번호, 검색어 등이 날짜, 시각 정보와 함께 저장되어 있다. 자동 완성 비밀번호 웹 페이지가 인코딩되어 저장되기도 한다.

 

Encase 에서 웹 히스토리를 분석하는 것은 간단하다.

   툴바의 Search 를 선택한다.

 

 

이 때 오른쪽 아래에 Search for internet history 를 체크해주면, 현재 추가된 증거들에서 자동으로 웹 히스토리 파일들을 찾아서 분류해준다.

 

 

결과는 Entries 탭이 아닌 Record (View->Cases->Records)에서 볼 수 있다.

 

 

Encase에서는 다음과 같은 웹히스토리 파일이 분석 가능하다.

-       Internet Explorer - Windows, Mac

-      Mozilla( Netscape, Firefox ) - Windows, Mac

-       Opera - Windows, Mac and Linux

-       Safari - Mac

 

 

 

  참고사항 : Index.dat

 Internet Explorer의 경우 Index.dat 파일을 이용하여 브라우져의 사용에 관한 정보를 유지하는데, Index.dat 파일은 Cookies, History, Temporary Internet Files 폴더 등의 정보가 위치한다. 다양한 Index.dat 파일은 그 구조는 유사하지만, 서로 다른 타입의 데이터를 저장한다.

   Cookies – 웹사이트에 의해 컴퓨터 시스템에 저장된 데이터.

.TXT 파일들이 실제 쿠키들을 나타내며,

Index.dat 파일은 각 쿠키 기록을 따른다.

Temporary Internet Files Index.dat – Internet Explorer를 통해 접근한 웹페이지에

나타난 파일들을 포함한다. 캐쉬 파일들은 컴퓨터에 저장될 때, 이름이 변경되는데 Index.dat는 이러한 변경 정보를 기록한다.

  Main History Index.dat – 전반적인 현재 히스토리

  Daily History Index.dat – 날짜 범위를 포함하는 폴더 저장.

예를 들어, ‘MSHist012010050420100505’ 2010 5 4일 하루의 히스토리를 의미한다.

   Weekly History Index.dat – 날짜 범위를 포함하는 폴더 저장.

예를 들어, ‘MSHist012010050220100508’의 경우 2010 5 2~8일 주를 의미한다.

   위의 Main, Weekly, Daily History Index.dat Internet Explorer 외에도 Windows Explorer를 통해 접근한 Local 파일에 대한 히스토리도 기록한다.



[i] Derrick J. Farmer. “A FORENSIC ANALYSIS OF THE WINDOWS REGISTRY”, 2008

: http://www.eptuners.com/forensics/Index.htm

반응형
Posted by CCIBOMB
반응형

 

○ 목     차 ○

 

1.    도입

 

2.     레지스트리

2-1.    레지스트리 정의

 

2-2.    레지스트리를 통해 알 수 있는 정보

 

2-3.    레지스트리의 구성

2-3.1.      HKLM(HKEY_LOCAL_MACHINE)

2-3.2.      HKU(HKEY_USERS)

2-3.3.      HKCU(HKEY_CURRENT_USER)

2-3.4.      HKCC(HKEY_CURRENT_CONFIG)

2-3.5.      HKCR(HKEY_CLASS_ROOT)

 

2-4.    하이브 파일 (Hive File)

2-4.1.      하이브 파일 (Hive File)의 정의

2-4.2.      레지스트리 하이브 (Registry Hive)의 구성

2-4.3.      HKEY_LOCAL_MACHINE 4가지 Hive File

2-4.4.      HKEY_USERS 2가지 Hive File

 

3.       레지스트리를 로그로 활용하기

3-1.    Offline System 레지스트리의 LastWrite time확인 (Encase 이용)

3-1.1.      원하는 레지스트리에 해당하는 Hive File을 찾아간다.

3-1.2.      해당 경로로 찾아가서 오른쪽 버튼 – View File Structure

3-1.3.      Hive File 익스포팅 후 별도의 툴 활용하기

 

3-2.    어플리케이션 관련 최근 사용 흔적

3-2.1.      최근 실행 목록(MRU lists, most recently used)

3-2.2.      최근 삭제한 목록

3-2.3.      특정 파일, 어플리케이션의 사용자 접근

3-3.    시스템 정보

3-3.1.      USB 장치 (USB Memory, PDA, 핸드폰 등)

3-3.2.      마운트한 장치들

3-3.3.      기타 포렌식 관점으로 주시할 사항

 

3-4.    네트워크

3-4.1.      무선 네트워크

3-4.2.      로컬 네트워크

3-4.3.      Intelliforms(자동완성기능)

3-4.4.      기타 포렌식 관점으로 주시할 사항

 

3-5.    웹 브라우져

3-5.1.      인터넷 익스플로러

3-5.2.      Opera

3-5.3.      Netscape, FireFox

 

3-6.    P2P 클라이언트

3-6.1.      Limewire

3-6.2.      Kazaa

3-6.3.      Morpheus

3-6.4.      기타 국내 P2P 및 웹 하드

3-6.5.      공통 레지스트리 키

 

3-7.    Messenger

3-7.1.      MSN Messenger

3-7.2.      Nateon

3-7.3.      Yahoo

3-7.4.      AOL Instant Messenger (AIM)

3-7.5.      Windows Messenger

 

3-8.    Outlook and Outlook Express

 

4.       레지스트리에서 공격자의 흔적 찾기

4-1.    루트킷 탐지

4-1.1.      도입

4-1.2.      레지스트리 Hives (SYSTEM, SOFTWARE)

4-1.3.      로우 레벨 Data 획득

4-1.4.      Helios 툴을 이용한 Cross-View 탐지

4-1.5.      한계

 

4-2.    자동실행( Autoruns), 시작 프로그램(Startup) 관련

4-2.1.      일반적인 autuorun locations 목록

4-2.2.      SharedTaskScheduler

4-2.3.      Shell\Open\Command

4-2.4.      ShellServiceObjectDelayLoad(SSODL)

4-2.5.      SYTEM.INI /  WIN.INI File

4-2.6.      ShellExecute Hook

4-2.7.      AppInit_DLL 레지스트리 값 자동 실행

4-2.8.      AppInit_DLLs

4-2.9.      Winlogon Notification Package

4-2.10.     UserInit Key


4-3.    Internet Explorer
관련

4-3.1.      Browser Helper Object (BHO)

4-3.2.      IE Start page/search page/search bar/search assistant URL

4-3.3.      Default URL Searchhook

4-3.4.      IE Options access restricted by administrator

4-3.5.      Extra Items in IE right-click menu


4-4.   
기타 포렌식 관점으로 주시할 사항

4-4.1.      Windows Services

4-4.2.      Hidden Resource configuration

4-4.3.      Hosts 파일 (Domain Hijack)

4-4.4.      Regedit access restricted by administrator

4-4.5.      Event Log Restrictions

4-4.6.      URL Default Prefix Hijack

4-4.7.      WinSock LSP (Layered Service Provider)

4-4.8.      가상메모리 파일 자동삭제

4-4.9.      실행 파일을 다른 프로그램으로 연결

4-4.10.     임시 폴더 및 공유 폴더

 

5.       레지스트리 복구

5-1.    Registry Key Recovery

5-1.1.      레지스트리 키 복구 원리

5-1.2.      레지스트리 키 삭제 매커니즘

5-1.3.      Reglookup-recover을 이용한 삭제된 키 복구

5-2.    Restore Point (RP)

5-2.1.      개요

5-2.2.      설정 상태 확인

5-2.3.      Restore Point 위치

5-2.4.      조사가 필요한 Restore Point 선택

5-2.5.      백업 파일 조사

5-2.6.      백업 레지스트리 조사

 

6.       Registry Forensic 관련 툴 소개

6-1.    Hijackthis

6-2.       SysinternalsSuits Autoruns

6-3.       Registry Viewer

6-4.       Paraben Registry Analyzer

6-5.       Regripper

6-6.       Regshot

6-7.       Regmon

 

6.       결론

 

7.       참고문헌

 

반응형
Posted by CCIBOMB
반응형

 

○ 목 차 ○


Ⅰ. 증거개시제도
1. 도입과 배심재판과의 연관성
2. 증거개시의 근거
가. 민사소송의 경우
나. 형사소송의 경우
3. 증거개시의 법적 성질
가. 검사의 증거개시의무
나. 피고인측의 증거개시의무
4. 한국의 소송법과 Discovery


Ⅱ. 디지털 증거개시제도
1. 디지털증거의 특징과 디지털포렌식
2. 디지털 증거개시의 특수성
가. 수정 필요성
나. 제작형태의 중요성
다. 증거에의 접근가능성
라. 디지털 증거 훼손
3. E-discovery 도입으로 인한 효과
가. 기업적 측면
나. 사회적 측면
다. 법률적 측면
4. 한국과 E-discovery
가. E-Discovery 제도의 도입 가능성
나. 기업과 E-Discovery
다. 판례 정리

Ⅲ. 증거개시제도 효율화를 위한 개선방안
1. 기본방향
2. 비교법적 검토 및 입법론
가. 미국의 경우
나. 일본의 경우
다. 독일의 경우
라. 소결
3. 기술적•제도적 개선방안
가. 디지털포렌식 툴의 국가적 검증기법 개발
나. 전문가 증인(Expert Witness) 육성
다. 디지털포렌식 전문가 인증제 도입

반응형
Posted by CCIBOMB
반응형

 

 

목차

 

Ⅰ. 들어가며

 

Ⅱ. 디지털 포렌식의 의의

1. 디지털 증거와 포렌식
2. 디지털 증거의 특성
3. 디지털 증거분석의 기본원칙


Ⅲ. 디지털 포렌식의 유형
1. 분석 목적에 따른 분류
2. 분석 대상에 따른 분류

Ⅳ. 디지털 포렌식 도구 및 장비
1. 디지털 증거 수집 장비
2. 디지털 증거 분석 도구

Ⅴ. 디지털 포렌식 절차
1. 디지털 증거의 획득
2. 이동과 전송
3. 복제 및 복구
4. 분석
5. 보관 및 분석보고서 작성


Ⅵ. 결어 

 Ⅶ. 참고문헌

반응형
Posted by CCIBOMB