제이제이 IT 스토리

1. 콘솔 입력

키보드로부터 문자열을 읽어 들이기 위해서 사용하는 함수는 raw input이다.

이 함수는 하나의 인수를 받을 수 있는데, 키보드 입력을 알려 주는 프롬프트(메시지)이다.

엔터 키를 입력할때 까지 읽은 문자열을 리턴한다.

만일 정수나 실수 등의 값을 원한다면 raw_input을 사용해서 문자열을 받은 후 수치 형으로

변환하거나, input을 이용한다.

[raw_input 함수로 정수값을 출력]

[input 으로 정수값을 출력]

[raw_input 으로 실수값 출력]

input은 입력된 문자열을 파이썬 식으로 처리해서 넘겨준다.

2. 콘솔 출력

1) print

화면으로 자료를 출력하는데 가장 보편적으로 사용되는 것은 print 문이다. 여러 값들을 콤마(,)로

구분할 수 있으며, 출력 시에 각 값들 사이에 공백 한 개가 추가된다.

세미콜론(;)으로 분리된 문은 순차적으로 입력된 문들로 처리된다.

기본적으로 print 문은 마지막에 줄바꾸기를 하지만, print 끝에 콤마(,)를 사용하면 줄바꾸기를 하지 않는다.

일반 자료형들도 ‘ ’식을 이용하여 문자열로 변환한 후 출력할 수 있다. ‘ ‘는 객체를 문자열로 변환한다.

2) pprint 모듈 이용하기

print 문이 복잡한 자료를 출력할 때 적합하지 않다면 pprint를 사용한다.

(complicated = complicated * 3 은 입력값을 3번 출력하기 위해서 입력된 것임.)

pprint를 사용하여 출력을 한 경우 보기 쉽게 입력값이 출력이 되고

print를 사용하여 출력을 하면 입력값이 연달아서 3번 출력하게 되므로 좀 보기가 어렵다.

3) 대화적 출력 후크(Interactive Display Hook)

파이썬 인터프리터를 대화적으로 사용할 때 출력은 기본적으로 repr() 내장 함수를 이용하여 출력된다.

2.1 이상에서 sys.displayhook을 설정하면 repr() 대신에 다른 함수를 기본 출력 함수로 사용할 수 있다.

예를 들어 다음과 같은 리스트가 주어져 있다.

sys.displayhook을 설정하는 방법은 다음과 같다.

>>> import sys, pprint

>>> sys.displayhook = pprint.pprint

그리고 다시 리스트를 출력하게 되면 pprint 형식으로 출력이 된다.

그러나 print 문으로 출력하면 여전히 이전의 방식대로 출력된다.

이상으로 콘솔 입,출력 방법을 알아보았다.

우리는 우리가 원하는 문자열을 프로그램 실행 중이라도 마음대로 만들 수 있기 때문에

문자열로 표현된 파이썬 코드를 실행하는 것은 유용할 수 있다.

이런 코드를 실행하는 방법은 몇 가지가 있다.

1. eval

eval() 내장 함수는 문자열로 된 파이썬 식(Expression)을 실행한다.

식만을 수행할 수 있기 때문에 문을 실행하려고 하면 다음과 같은 SyntaxError 예외가 발생한다.

eval() 내장 함수의 사용 형식은 다음과 같다.

eval (expression[, globals[, locals]])

여기서 global은 전역 영역 사전, local은 지역 영역 사전이다. 이들 인수는 선택적이다.

2. exec

exec는 문자열로 된 문(Statement)을 수행한다.

exec는 여러 개의 문일 수 있다.

exec의 사용 형식은 다음과 같다.

exec code [ in globals [, locals]]

여기서 global은 전역 영역 사전, local은 지역 영역 사전이다.

3. compile

exec나 eval은 문자열로 입력된 코드를 분석해서 파이썬 컴파일 코드로 변환한다. 만일 이러한 코드를 반복적으로 수행하게 되면 변환에 필요한 시간은 크게 늘어나게 된다.

효율적인 수행 방법은 문자열을 파이썬 코드로 한번 변환해 둔 후에, 반복 실행할 때마다 이 코드를 활용하는 것이다. compile() 내장 함수는 문자열을 컴파일하여 파이썬 코드를 리턴한다.

사용 형식은 다음과 같다.  

compile (string, filename, kind)

여기서 string은 코드 문자열, filename은 코드 문자열이 저장된 파일명이다. 코드 문자열이 파일에서 읽혀지지 않았다면 <string>이 된다. kind는 어떤 종류의 코드가 컴파일되야 하는지 지정한다. ‘exec’이면 여러 개의 문들을 컴파일하며, ‘eval’이면 하나의 식을, ‘single’이면 하나의 대화적 문을 컴파일한다.

단일 문의 실행 예

복합 문의 실행 예

Windows 시스템은 출시된 버전에 따라 폴더의 이름과 구조가 조금씩 다른 부분도 있지만

호환성을 위해 대부분 유사한 형태를 보이고 있다.

디지털 포렌식을 위해 Windows 폴더들의 구조와 각 폴더에 존재하는 파일들의 특성을

이해하는 것은 필수적인 요소다.

[C:\드라이브 기준]

< C:\Documents and Settings\[User ID]\ >

< C:\Users\[User ID]\ >

Documents and Settings 또는 Users 폴더는 사용자 계정별 프로필 설정 및 데이터가 저장되는 폴더로

각각 다른 사용자 계정별 폴더가 존재한다. 각 계정 아래에는 계정별 바탕화면, 즐겨찾기, 내 문서, 편지함 등 환경정보가 저장된 파일 및 폴더가 존재한다.

Windows 95/98/Me 버전에서는 개인 사용자용 운영체제 특성상 계정별 폴더가 존재하지 않았으나 Windows NT 이후의 버전부터는 다중 사용자 운영체제 기반으로 사용자별 프로필 폴더가 존재한다.

Windows NT는 C:\WINNT\Profiles 폴더명으로 Windows XP/2000 에서는 C:\Documents and Settings와 같은 폴더명으로 존재한다.

이후 Windows Vista 부터의 윈도우 시스템은 C:\Users 폴더명으로 사용되고 있으나 호환성을 위해 C:\Users 폴더에 연결된 심볼릭 링크(Symbolic Link)의 형태로 C:\Documents and Settings 폴더도 존재한다.

[사용자 계정별 하위폴더 종류]

- Application Data : 어플리케이션별 데이터, 응용 소프트웨어 개발자가 사용자 프로필 폴더에 저장할 데이터를 결정

- AppData : Windows Vista 이전 Windows 시스템의 Application Data 폴더. 하위 폴더에 Local, LocalLow, Roaming 폴더가 존재

- Cookies : 웹사이트 방문 시 저장되는 쿠키 정보

- Documents : 사용자 문서 (Windows XP 에서는 My Documents)

- Favorites : 인터넷 익스플로러의 즐겨찾기 정보 목록

- Local Settings : 응용 소프트웨어 데이터, History 기록 및 임시 파일 저장

- NetHood : 네트워크 환경 항목에 대한 바로 가기

- Pictures : 사용자 그림 항목(Windows XP 에서는 My Pictures)

- PrintHood : 프린터 폴더 항목에 대한 바로 가기

- Recent : 최근 접근한 문서 및 폴더의 링크 저장, Vista 이상의 Windows 시스템에서는 AppData\Roaming\Microsoft\Windows\Recent 폴더 사용

- SendTo : 문서 처리 유틸리티에 대한 바로 가기

- 시작메뉴 : 시작 프로그램 항목에 대한 바로 가기

- Tempates : 사용자 템플릿 항목

• 위 이미지는 내 컴퓨터 환경인 Windows 10에서 캡쳐 한 것이므로 위 설명된 폴더가 다를 수도 있음.

< C:\Program Files\ >

각종 응용프로그램들이 설치되는 폴더이다. C:\Program Files\Common Files 폴더에는

시스템 정보파일이 존재한다.

[C:\Program Files\Common Files 폴더 화면]

< C:\ProgramData >

Windows Vista 부터 등장한 폴더로 Windows 시스템에 설치된 프로그램들이 모든 사용자 계정에서 사용할 수 있는 데이터를 저장하는데 사용한다.

기본적으로 숨김속성을 가지고 있어 윈도우 탐색기의 폴더옵션에서 ‘숨김 파일 및 폴더 표시’ 기능에 체크를 해야 확인이 가능하다.

이렇게 숨김 파일 및 폴더 표시를 체크하고 확인해보면 이렇게 ProgramData 폴더가 보인다.

폴더가 희미하게 표시된 것은 숨김 파일 또는 폴더라는 의미다.

[ProgramData 폴더 내부]

< $RECYCLE.BIN >

Windows 시스템의 휴지통 폴더로 사용자의 SID(Security Identifier)별로 각각의 파일 시스템에 폴더가 생성된다.

사용자의 SID는 레지스트리 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProfileList에서 확인이 가능하다.

Windows NT/200/XP 에서는 RECYCLER 라는 폴더명을 사용하고, Vista 이상에서는 $RECYCLE.BIN 폴더명을 사용한다.

휴지통에서 삭제된 파일들의 정보를 관리하기 위한 목적으로 INFO2 파일에 원본파일 경로 및 이름,

휴지통 내의 파일 식별자, 원본 파일이 위치하고 있던 드라이브의 번호, 파일이 삭제된 날짜 및 시간,

원본파일의 크기 등이 기록되며 Vista 이상의 Windows 시스템에서는 $I로 시작하는 파일이 사용된다.

[FTK imager로 본 $Recycle.Bin의 모습]

< C:\System Volume Information\ >

Windows Me 이상의 이후부터는 시스템 복원 기능이 존재하며 기본적으로 활성화 되어 있어

Windows 시스템의 복원 도구가 해당 정보와 복원 지점을 저장하기 위해 사용하는 숨겨진 시스템 폴더이다.

System Restore Service가 활성화 된 경우에는 설정된 모든 파일시스템에서

System Volume Information 폴더가 생성된다.

시스템 복원 기능은 시스템 보호를 위해 정기적으로 복원 지점을 만들고 저장한 후, 시스템이 정상적으로 동작하지 않을 경우 복원 지점을 이용해 이전 상태로 시스템 파일과 레지스트리 값을 되돌리게 된다.

기본적으로 복원되는 항목은 레지스트리, filelist, xml 파일의 <include> 부분에 확장자가 포함된 파일이다.

사용자가 만든 데이터, 위치가 변경된 폴더, SAM Hive 파일, Windows 시스템 인증정보, filelist.xml 파일에서 <exclude>부분에 포함된 폴더 및 파일은 복원지점에 데이터로 저장하지 않는다.

Windows Vista 부터는 복원 지점과 백업 기능을 결합한 VSS(Volume Shadow Copy) 를 이용해 시스템 복원을 수행한다.

[FTK imager로 본 System Volume Information 모습]

FTK imager 로 사본 이미지를 생성시 디렉토리에 이미지 파일 외 csv, txt 파일이 생성된다.

[csv 파일 내용]

파일이름, 절대경로, 파일 사이즈(bytes), 생성 시간, 수정된 시간, 접근 시간, 삭제 유무가 엑셀파일로 되어있다.

실제 현장에서는 압수한 USB에서 피의자가 중요 파일을 삭제를 했는지 언제 생성되었고 언제 수정이 되었는지를 표에서 참조할 수 있을 것이다.

[txt 파일 내용]

txt파일의 내용은 FTK imager로 사본 이미지를 생성할때 입력했던 사건 번호, 사건 정보 같은 내용을 담고 있으며 물리적인 디스크의 모델, 일련 번호 같은 내용이 담겨져 있으며, 해시값 검증 결과 같은 것들이 담겨있다.

따라서 해당 내용들을 토대로 나중에 보고서를 쓸때 유용할 것이다.

FTK imager 는 AccessData 사에서 만든 이미지 사본 생성 도구이다.

디지털포렌식 수사를 할때  USB, 하드디스크 같은 매체의 무결성을 위해서 원본으로 조사를 하지 않고

사본 이미지를 만들어서 조사를 하게 되는데 이 때 필요한 도구이다.

그리고 삭제된 데이터 복원도 가능하다.

[USB 메모리 사본 이미지 생성방법]

- 작업환경 : Windows10, 16Gb 메모리, FTK imager 4.1.1.1(한글버전)

FTK imager를 열고 파일 -> 디스크 이미지 작성을 누른다.

소스 선택창이 나오는데 물리적 드라이브, 논리적 드라이브, 이미지 파일 등 몇가지 종류가 나오는데

USB메모리를 이미지 생성할 것이기 때문에 물리적 드라이브를 선택하고 다음을 누른다.

인식된 USB 메모리를 선택하고 완료를 눌러준다.

이렇게 하면 바로 작업이 완료되지는 않고 이미지 유형을 선택 등 몇가지를 추가해야

작업을 완료할 수 있는데 이미지 대상 아래에 추가 버튼을 눌러준다.

이미지 유형 선택창이 나오게 되며 4가지 원시(dd), SMART(S), E01(E), AFF 방식을 선택할 수 있는데

보통은 E01 방식을 많이 사용하므로 E01을 선택하고 다음을 눌러준다.

(상황에 따라서는 원시(dd)방식을 사용해야할 경우도 있음.)

그 다음은 증명 항목 정보가 나오는데 이 부분은 지금은 그렇게 중요한 부분이 아니므로 알아서 적는다.

(실제 현장에서는 현장에 맞게 작성)

이미지 대상 선택 창이 나오면 이제 이미지 파일을 저장할 곳, 이미지 파일의 이름을 지정하게

되고 이미지 대상 폴더에는 저장될 폴더를 선택하고, 이미지 파일 이름은 각자 알아서 정하면 된다.

(아래의 추가 옵션을 선택해서 이미지 단편화 크기나 압축방식 등을 지정해서 할 수도 있으며

여기서는 기본을 사용한다.)

이제 완료를 누르게 되면 이미지 대상에는 경로가 지정이 되고 위에서는 활성화 되어있지

않던 시작 버튼이 활성화 되면서 이제 이미지 생성을 할 수 있게 된다.

시작 버튼을 누르면 이렇게 이미지 생성 창이 보이면서 진행이 된다.

16GB USB를 기준으로 1분 30초 정도 걸렸다.

디스크의 용량이 더 크다면 작업시간이 더 오래걸릴 것이다.

이제 생성이 완료되면 확인결과 창이 뜨고 해시값을 확인하여 동일한지 체크를 하여 출력해준다.

이제 USB메모리의 디스크 이미지 사본 작성은 완료되었으며 이제 USB를 제거해도 상관이 없다.

분석은 이 사본으로 하게 될 것이기 때문에…

제대로 생성되었는지 확인해보자.

설정한 디렉토리로 가서 확인을 해보면 이렇게 이미지 사본 파일과

USB안에 데이터 정보들이 담겨있는 csv 파일 그리고

USB메모리에 대한 정보가 담겨있는 txt 파일도 생성이 되어있다.

[생성된 사본 이미지 확인하기]

FTK imager에서 파일 -> 증명 항목 추가 선택

선택하면 이미지 생성때와 마찬가지로 소스 선택 창이 나오는데

이제는 물리적인 디스크가 아닌 이미지 파일을 선택한다.

이미지 파일의 경로를 선택하고 완료를 누른다.

완료를 누르게 되면 이제 이렇게 USB에 담긴 정보들을 볼 수 있게 된다.

왼쪽 창은 윈도우 탐색기 처럼 트리 형식으로 디렉토리를 출력해주며

파일목록에서는 어떠한 파일들이 있는지 보여주며 삭제된 파일들은 X로 표시가 된다.

FTK imager를 이용한 USB 메모리 이미지 사본 생성 완료!!!

* 리눅스에서는 tail -f 명령어를 사용하여 실시간으로 로그를 확인할 수 있었는데

윈도우에서도 특정 프로그램의 로그파일을 실시간으로 확인을 해야할 일이 있어

찾아본 결과 윈도우에서도 tail 프로그램이 존재했다.

[다운로드]

다운로드는 아래에서 경로에서 다운이 가능하다.

https://sourceforge.net/projects/tailforwin32/files/Tail/

[실행방법]

다운을 받고 압축을 풀어주면 별도의 설치 없이 바로 실행이 가능하다.

[실행화면]

좌측 상단에 File 탭을 누르고 Open을 눌러주면

열기 창이 나타난다. 기본으로 파일 형식은 확장자가 *.log로 되어있다.

하지만 내가 확인해볼 로그는 확인해보니 log확장자 뒤에 rotate 형식으로 .숫자가 붙는 형식이여서 파일 형식에서 모든 파일로 변경해주고 나니 로그들이 보이기 시작했다.

실시간으로 확인해볼 로그를 클릭해보고 해당 프로그램을 구동해보자.

이렇게 한쪽은 프로그램 창 다른한쪽은 로그 프로그램으로 해놓고 보면 프로그램이 실행하면서 쌓는 로그들을 바로 볼 수 있다.

(위에 play 버튼이랑 pause scrolling 버튼이 있으나 그닥 쓸모는 없는 것 같다.)

사실 tail 프로그램이 매우 심플하여 다른 설명은 따로 필요 없을 것 같다.

[논리적 쓰기방지 방법] -> 레지스트리 수정 방법

실행 -> regedit 실행

가. 레지스트리 수정 - NTFS파일시스템(Win7) 레지스트리 수정       

Key: HKLM\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

Name : WriteProtect

Value : 0x00000000(쓰기방지 해제), 0x00000001(쓰기방지 설정) Dword 생성

* HKLM(HKEY_LOCAL_MACHINE)

값이 1이면 쓰기 금지, 0이면 쓰기 허용

[DISKPART 명령어로 쓰기 금지 활성화 되어있는지 확인 방법]

cmd에서 diskpart 를 실행(관리자 권한으로 실행)

> list disk 로 디스크 확인

> select disk 1 으로 해당 드라이브로 이동

> attributes disk 명령어를 입력하면 현재 읽기 전용 상태에 : 예 로 표시가 된다.

그리고 예를 들어 사진을 하나 복사하려고 하면 다음과 같은 경고창이 뜰 것이다.

포렌식 수사를 진행할때 USB안에 데이터를 임의로 쓰거나 하게 되면 데이터의 시간이나

일부가 변경되므로 증거로 사용할 수 없게 된다.

따라서 무결성을 위해서 쓰기방지를 하고 수사를 진행하는 것이 좋다.

1. 전자적 증거의 의의와 특성

[의의]

전자적 증거는 전자적 형태로 유통되거나 저장되어 있는 데이터로 사건의 발생 사실을 입증하거나 반박하는 정보 또는 범행 의도나 알리바이와 같은 범죄의 핵심요소를 알 수 있는 정보를 간직하고 있다.

전자적 증거에 관한 국제 조직 IOCE(International Organization on Computer Evidence)에서는 “2진수 형태로 저장 혹은 전송되는 것으로서 법정에서 신뢰할 수 있는 정보”라 하고, 전자적 증거에 관한 과학실무 그룹 SWGDE(Scientific Working Group on Digital Evidence)에서는 “디지털 형태로 저장 전송되는 증거가치 있는 정보”라 하고 있다.

<전자적 증거의 구분>

[전자적 증거의 특성]

1) 매체독립성

전자적 증거는 ‘유체물’이 아니고 각종 디지털 저장매체에 저장되어 있거나 네트워크를 통하여 전송 중인 정보 그 자체를 말한다. 즉, 전자적 증거는 매체와 독립된 정보 내용이 증거로 되는 특성을 지니고 있다.

2) 비가시성, 비가독성

디지털 저장매체에 저장된 전자적 증거 그 자체는 사람의 지각으로 바로 인식할 수 없고, 반드시 일정한 변환절차를 거쳐 모니터 화면으로 출력되거나 프린터를 통하여 인쇄된 형태로 출력되었을 때 비로소 가시성과 가독성을 지니게 된다. 예를 들어 종이 문서의 경우 이를 제시하는 방법으로 곧바로 시현해 보일 수 있는데 반하여, 전자적 증거의 경우 컴퓨터 하드디스크를 제시하는 것만으로는 증거 내용을 인지할 수 없고, 그 내용을 판별해서 모니터 상에 나타나게 하거나 인쇄를 통하여 제시될 때 비로소 가시성 * 가독성을 가지게 된다.

3) 변경 * 삭제의 용의성(취약성)

전자적 증거는 삭제 * 변경 등이 용이하다. 하나의 명령만으로 하드디스크 전체를 포맷하거나 특정 파일을 삭제할 수도 있다. 또한 특정 워드 파일을 열어보는 것만으로도, 비록 의도하지 않았더라도 파일 속성이 변경된다.

반면 압수 * 수색하는 과정에서 피압수자가 관련 정보를 삭제할 우려도 있으므로 이에 예방하기 위한 신속한 조치가 필요하다. 또한 작동중인 컴퓨터에서 전원을 Off하면 저장되지 않은 정보, 인쇄출력중인 정보 등은 삭제되므로 사진촬영 해 놓지 않으면 증거로 사용할 수 없게 될 수도 있다.

긴급보전의 필요성에서 상당한 방법으로 사진 촬영하는 것은 적법하다는 것이 판례의 입장이다.  

4) 대용량성

저장기술의 비약적 발전으로 인하여 방대한 분량의 정보를 하나의 저장매체에 모두 저장할 수 있게 되었다. 회사의 업무처리에 있어서 컴퓨터의 사용은 필수적이고, 회사의 모든 자료가 컴퓨터에 저장된다. 그 결과 수사기관에 의하여 컴퓨터 등이 압수되는 경우 그 업무수행에 막대한 지장을 받게 된다.

5) 전문성

디지털 방식으로 자료를 저장하고 이를 출력하는데 많은 컴퓨터 기술과 프로그램이 사용된다. 전자적 증거의 수집과 분석에도 전문적인 기술이 사용되므로, 전자적 증거의 압수 * 분석 등에 있어 포렌식 전문가의 도움이 필수적이다. 여기에서 전자적 증거에 대한 신뢰성 문제가 대두된다. 특히 전문조사관의 증언능력, 사용된 포렌식 도구의 신뢰성이 문제된다.

6) 네트워크 관련성

현재의 디지털 환경은 각각의 컴퓨터가 고립되어 있는 것이 아니라 인터넷을 비롯한 각종 네트워크를 통하여 서로 연결되어 있다. 전자적 증거는 공간의 벽을 넘어 전송되고 있는데, 그 결과 국내의 토지관할을 넘어서는 법집행을 어느 정도까지 인정할 것인지의 문제와 국경을 넘는 경우 국가의 주권문제까지도 연관될 수 있다.

[전자적 증거의 진정성]

1) 원본성(Best Evidence)

전자적 증거는 그 자체로는 가시성, 가독성이 없으므로, 가시성 있는 인쇄물로 출력하여 법원에 제출할 수 밖에 없다. 미국에서는 “서면, 녹음, 사진의 내용을 증명하기 위해 다른 법률에 의하지 아니하고는 원본에 의하여 입증되어야 한다.”는 최량증거원칙(The Best Evidence Rule)이 확립되어 있다.

2) 동일성(무결성, Authenticity)

전자적 증거는 다른 증거와 달리 훼손 * 변경이 용이한 특성으로 인하여 최초 증거가 저장된 매체에서 법정에 제출되기까지 변경이나 훼손이 없어야 한다. 현재 국내 수사기관에서는 전자적 증거의 무결성을 증명하기 위하여 하드디스크 등의 저장매체를 압수한 다음 피압수자의 서명을 받아 봉인하고, 서명, 봉인과정을 비디오카메라로 녹화하고 있다.

3) 신뢰성(Reliability)

전자적 증거는 수집에서 분석까지의 모든 단계에서 신뢰할 수 있어야 한다. 우선 전자적 증거를 수집하고 분석하는데 사용되는 하드웨어 및 소프트웨어의 신뢰가 이루어져야 한다.

만일 소프트웨어를 통해 분석한 결과가 매번 다르다면 그 소프트웨어를 통해 나온 결과를 신뢰할 수 없을 것이다.

다음으로는 전자적 증거를 수집 * 분석하는 사람이 전문적인 지식을 갖추고 있어야 한다는 것이다. 전자적 증거를 수집 * 분석에 따른 결과는 분석하는 하드웨어나 소프트웨어 보다는 분석하는 자의 전문성에 따라 분석 결과의 수준이 차이가 있을 수 있기 때문이다.

우선 전자적 증거를 수집 * 분석하는데 사용되는 컴퓨터는 정확하고, 프로그램은 신뢰할 수 있어야 한다.