무결성 및 증거 수집 (Hash, Imaging, 쓰기방지)
1. 무결성 확보와 Hash 값
-
무결성 (Integrity): 최초 증거가 법정에 제출되기까지 변경·훼손 없이 보호되는 상태입니다.
-
Hash 값: 원본과 증거 사본의 Hash 값(MD5, SHA1 등)이 동일함을 확인하여 무결성을 입증해야 합니다.
2. 증거 사본 생성 (이미징)
-
이미징 (Imaging): 디지털 증거 분석을 위해 원본 매체의 모든 물리적인 섹터를 파일 형태로 복제하는 가장 적합한 방식입니다.
-
쓰기방지 설정: 원본 매체의 훼손 방지와 원·사본의 동일성/무결성 유지를 위해 이미징 전 읽기 전용 상태로 설정하는 것이 필수입니다.
3. 주요 포렌식 툴 (이미지 생성/분석)
-
FTK Imager: 무료 이미지 생성 툴이며, 전문 분석에는 한계가 있습니다.
-
Autopsy: 무료 증거 분석 툴이며, 강력한 분석 기능을 제공합니다.
-
Encase: 유료 이미지 생성 및 분석 툴이며, **쓰기방지 기능**을 제공합니다.