태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

요즘 가장 많이 사용하는 메신저는 카카오톡이라고 보입니다.


그렇다면 많은 정보들이 카카오톡 대화내용을 통해 오고 갈 수밖에 없습니다.


예전에는 통화내역이나 문자 등이 법적인 증거자료로 많이 이용됐다면 이제는 카카오톡이나 다른 메신저의 대화내용이 법적 증거자료로 많이 이용됩니다.


이러한 부문을 디지털포렌식이라고 합니다.

디지털포렌식

보통은 민사 사건에서는 스마트폰에 저장되어 있는 카카오톡 대화내용을 캡쳐한 후 출력해서 많이 이용되고 있습니다.


형사사건에서는 검찰 또는 경찰이 스마트폰 증거 수집 툴을 이용하여 획득한 자료가 이용되구요.

모바일탐정

아무래도 스마트폰 카카오톡 대화내용 복구 결과를 법적 증거로 이용하는 곳은 민사사건 쪽이 많을 수밖에 없습니다.

카카오톡 복구프로그램 모바일탐정 스탠다드 공식 홈페이지 입니다.

http://www.mobiletamjung.com/ 


민사사건은 특성상 보통 소송의 상대가 존재하게 되구요.

분석완료

과연 스마트폰 복구업체에서 작업한 카카오톡 대화내용의 복구 결과가 법적으로 증거자료가 될 수 있을까요?


카카오톡 대화내용 복구 결과


결론부터 보면 법적증거로 사용될 수 있습니다.

물론 메모리의 덤프 이미지 파일도 있어야 합니다.

이미지덤프

복구업체에서 카카오톡 대화내용을 복구하면 다시 스마트폰에 데이터를 넣어서 드리는 것이 아니라 엑셀파일 형태로 받게 됩니다.

카카오톡 대화내용 복구

이러한 엑셀 파일의 필요한 부분만 출력하여 법원에 제출할 경우 법적으로 증거가 되는냐는 의문입니다.


만약 소송 상대방이 편집이나 위조의 가능성을 제시할 수 있기 때문입니다.


그래서 이럴 경우에는 복구업체에서 정식으로 출력되고 직접 날인한 감정서를 제출하여 법적 증거능력을 보완할 수 있습니다.

감정서

형사사건처럼 엄격한 기준을 적용한다면 데이터의 수집부터 분석, 감정서 작성까지 일관성 있게 작업도 가능합니다.


데이터획득

데이터추출, 이미지덤프, 분석, 원복 등의 과정을 거칩니다.

스마트폰원복


하지만 아직까지는 이렇게 엄격하게 진행되지는 않는 것 같습니다.

결국 어떠한 경우든 스마트폰을 꺼놓고 아무런 작업을 하지 않고 그대로 보관하는 것이 중요합니다.


전문적인 지식이 필요하다면 전문가와 상의해 보십시오.

 


Posted by 디로그포렌식

댓글을 달아 주세요

이번 포스팅은 한국정보통신기술협회에서 내놓은 이동전화 포렌식 가이드라인입니다. 

출처 : http://www.tta.or.kr/index.jsp

내용을 보니 벌써 2007년도에 기본안을 제시했네요. 


 그 내용을 기본적으로 요약해 놓은 것을 보면 
 "본 표준의 주요 내용은 이동 전화에 내제되어 있는 디지털 증거물들을 정의하고, 이를 수집 및 분석하는 절차와 방법을 제시하며 향후 이동 전화 포렌식 도구의 개발 방향을 다룬다. 특히 수집, 분석, 보관의 과정이 적법한 절차로 이루어질 수 있도록 표준 가이드라인을 제시한다. 본 표준 가이드라인을 통해 증거물의 무결성을 보장함과 동시에, 적합한 절차를 통해 디지털 증거물을 취급할 수 있는 방안 및 조사 행위를 정립한다. 본 표준에서는 이동 전화로부터 수집할 수 있는 디지털 증거물은 전자적인 증거 외에, 이동 전화 연결 장비 및 기타 관련 장비들을 포함한다."
 이렇게 되어 있습니다. 

그 세부내용을 보면 정의, 포렌식개요, 포렌식절차, 휴대폰포렌식 도구 개발방향으로 구성되어 있습니다. 


간단히 정의된 내용을 보면 디지털증거, 디지털증거분석방법, 휴대폰포렌식, 휘발성증거, 비휘발성증거, 기타 디지털저장매체 등에 대한 설명이 있습니다, 

다음으로 디지털 포렌식의 기본원칙은 원본보준, 안정성, 무결성, 절차의 연속성, 신뢰성 등이 필요 합니다.

마지막으로 진행절차를 보겠습니다.

휴대폰 배터리의 양이 얼마나 남아 있는지를 확인합니한다.
- 배터리의 양이 충분하지 않을 경우 배터리를 충전하여 증거 수집 도중 휴대폰이 꺼지는 일을 방지합니다.

휴대폰의 통신을 차단하여 증거 수집을 수행하는 동안에 증거 변화의 가능성을 제거합니다.

휴대폰이 잠금 모드로 설정된 경우에는 휴대폰의 소유자에게 비밀번호를 확인한 후 기록하고 잠금 모드를 해제합니다.

휴대폰의 기본적인 상태(날짜, 시간)을 기록합니다.

물리적 수집의 가능여부를 파악합니다.

물리적 수집이 가능한 경우 즉시 수집을 수행하고, 수집된 증거의 해쉬값에 대해 휴대폰의 소유자로부터 기명날인 또는 서명을 받아 기록합니다.
- 수집이 완료되면 휴대폰은 소유자에게 돌려줍니다.

물리적 수집이 불가능 한 경우에는 휴대폰의 연구실 이동을 위한 2차 동의를 요청합니다.
- 휴대폰의 소유자가 2차 동의를 했다면 휴대폰을 통신이 차단된 상태에서 연구실로 이송하고, 휴대폰 소유자에게 사전에 준비되어 있는 휴대폰을 제공합니다.

2차 동의를 얻지 못했다면 압수수색 영장을 통해 휴대폰을 입수하고, 동의를 얻지 못한 상황에서의 초기대응 단계로 진행합니다.

연구실에서의 작업도 동일한 절차에 의해 진행합니다.

이렇게 간단히 이동전화 휴대폰의 디지털포렌식 가이드라인에 대하여 알아봤습니다.


또한 이외에도 여러 디지털포렌식 관련정보를 게재하고 있네요.

유익한 정보가 되기를 바라며...



Posted by 디로그포렌식

댓글을 달아 주세요

음성파일의 위조 여부 판별에 대한 디지털포렌식 분석


스마트폰 갤럭시S2(SHW-M250S)내에 저장된 음성파일의 변조 여부 파악


음성파일 위변조 여부 주요 쟁점내용

스마트폰에 저장된 음성파일의 해당 스마트폰에서의 녹음 여부

스마트폰에서 녹음된 파일의 해당 스마트폰 내에서의 이름변경 여부

다른 폰이나 녹음기기에서 녹음된 파일의 스마트폰으로의 이동여부

음성파일의 조작 여부 등에 대한 분석이 필요합니다.


음성파일 위조 변조 분석 작업과정

우선 스마트폰을 이미지 덤프카피하여 원본이미지를 보관합니다.

이때 사용한 솔루션은 당사의 스마트폰 복구 솔루션인 "모바일탐정"을 이용했습니다.


"모바일탐정"은 스마트폰 메모리를 byte to byte 방식으로 이미지 덤프카피하는 방식으로 완전성을 충족시키는 툴입니다.

해당 원본이미지를 복구 및 분석하여 음성파일 및 관련 정보를 추출합니다.

그 결과 추출된 음성파일을 대상으로 정상/삭제여부, 파일명, 확장자, 파일크기, 생성시간, 수정시간, 접근날짜, 저장위치 등을 분석합니다.

다음으로 동일한 기종의 스마트폰을 준비하여 동일한 애플리케이션 및 OS를 이용하여 해당 스마트폰 내에서의 작업과정을 동일하게 수행하여 특성을 분석합니다.


그 결과 저장위치와 파일크기등의 속성이 같은 다른 파일이름은 이름이 변경된 것임을 확인할 수 있었습니다.

또한 저장시 자동 생성되는 파일명과 변경된 파일명, 확장자종류 등을 비교하여 분석을 완료할 수 있었습니다.


음성파일 위변조분석결과

분석결과 음성파일은 정상58, 삭제7, 총65여개가 있었으며, 해당폰에서 저장된 것은 8개뿐이라는 것을 확인 할 수 있었습니다.


또한 8개 파일 중 3개가 삭제된 것으로 나왔으나 이름이 변경된 것으로 확인 되었으며, 5개만이 정상적으로 해당 스마트폰에서 녹음되고 그중 3개는 이름만 변경된 것으로 확인 되었습니다.

그 결과 5개 파일은 증거능력으로 인정 받을 수 있었습니다.



Posted by 디로그포렌식

댓글을 달아 주세요

  1. 김영배 2016.08.25 17:49 신고  댓글주소  수정/삭제  댓글쓰기

    휴대폰으로 녹음한 대화파일을 카카오톡으로 전송 받았습니다.
    그런데 이 대화파일에 위변조가 있었는지 확인하고 싶습니다.
    파일 복사본을 제출하면 위변조 여부를 알 수 있을까요?
    아님 원본이 있어야 하는지요?

  2. 보라 2017.10.11 23:03 신고  댓글주소  수정/삭제  댓글쓰기

    스마트폰 동영상 음성을 확인하고 싶은데 가능할까요?

  3. 2017.10.11 23:04  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다