Digital Forensics 썸네일형 리스트형 포렌식 관점에서 바라본 Exif Format-4 [Exif Data의 무결성 검증은 어떻게 할것인가] Ⅳ. 개선방안 4.1 Exif Data의 무결성의 입증 4.1.1 Modify-Time의 변화 Exif Data는 위에서 살펴본 것처럼 조작이 가능하며 이미지 바이너리 자체로는 그 조작여부를 가릴 수 없다. 하지만 Exif Data를 조작하게 되면 파일 내부의 정보를 조작하는 것이 되어 소위 MAC-time 중 Modify-Time이 변하는 결과를 낳게 된다. 하지만 앞서 언급했듯이 파일시스템 수준에서 M-time을 조작할 수 있다. 따라서 단순히 M-time의 변화가 없다고 해서 Exif Data가 변하지 않았음을 입증할 수는 없다. 4.1.2 해쉬(Hash)값의 변화 Exif Data의 조작은 바이너리를 조작하는 것이기 때문에 파일의 해쉬값은 변화하게 된다. 결국 Exif Data의 무결성 여부은 .. 더보기 포렌식 관점에서 바라본 Exif Format -3 [Exif Data의 조작] 3.3 Exif Data의 조작 위에서 살펴본 것처럼 Exif Data는 촬영환경, 위치, 시각정보 등 수많은 정보를 담고 있어 무결성이 검증될 경우 법정에서 실체적 현장을 재현하는데 탁월한 효과를 발휘할 수 있다. 그런데 이와는 반대로 Exif Format의 바이너리 데이터가 조작될 경우 엄청난 역효과를 낳을 수 있기 때문에 바이너리 데이터를 조작할 경우 이를 탐지할만한 장치가 있는지 실험하여 보았다. 3.3.1 GPS 정보의 조작 바이너리 수정툴인 UltraEdit-32를 이용하여 해당 디지털이미지의 GPS 정보를 수정해보았다. 다른 필드의 수정없이 원본 이미지의 GPSLatitude값과 GPSLongitude값 만을 조작해서 구글어스 상에서 이미지가 찍힌 위치를 광화문인 것처럼 조작할 수 있었다. .. 더보기 포렌식 관점에서 바라본 Exif Format -2 [Exif Format의 구조] Ⅲ. Exif Format 3.1 JPEG의 구조 3.1.1 JPEG 이미지와 마커(Marker) JPEG 이미지는 마커(Marker)의 집합으로 구성되어있다. 위 그림처럼 모든 마커는 0xFF로 시작하며 데이터의 크기가 마커에 명시되어 있어 오프셋(offset)으로 다음 마커의 위치를 알 수 있다. JPEG 이미지는 SOI 마커로 시작하여 SOS 마커로 끝나는 형태를 띄고 있다. 마커 마커 번호 SOI(Start of Image) D8 APP1 E1 APP2 DQT(Quantization Table) DB DHT(Huffman Table) C4 DRI(Restart Interval) DD SOF(Frame Header) C0 SOS(Scan Header) DA EOI(End of Image) D9 이 .. 더보기 본증과 반증 그리고 민사소송에서의 Digital Forensics 민사소송에서 당사자(원고 혹은 피고)의 주장은 두가지로 나눌 수 있다. 본증과 반증... 본증의 경우에는 법관에서 확신을 심어줄 수 있는 만큼의 신뢰성을 충족시켜야하며 대개는 임증책임을 진 자의 주장이 여기에 해당한다. 반증의 경우는 법관에게 의심을 품게할 정도면 충분하다. 보통 반증은 주로 상대방의 주장(본증)을 기각시키는데 이용된다. Digital Forensics 에서도 이 두가지를 고려하여 본증에 사용할 디지털증거와 반증에 사용할 디지털증거로 나누어 생각해야 할 것이다. 우리가 흔히 생각하는 Digital Forensics에서의 신빙성, 신뢰성 확보는 본증의 정도에 맞춰있다. 법관에게 확신을 심어줄 정도는 아니더라도 의심을 심어줄만한 정도의 디지털증거는 폐기해서는 안되고 상대방의 주장에 대한 반증.. 더보기 KUCIS 발표자료 ㅋㅋ 더보기 이전 1 다음
