[ Chapter 8 ] 인터넷과 이메일

Chapter 8의 소 주제로는 인터넷의 개요와 작동 원리, 웹 브라우저의 작동 원리와 증거 생성, 이메일의 기능과 포렌식, 메신저 프로그램과 소셜 네트워크 증거가 있다.

 

소셜 네트워크, 이메일, 채팅 로그, 인터넷 기록 등은 모두 컴퓨터에서 찾을 수 있는 최고의 증거들이다. 8장에서는 이러한 테크놀로지가 어떻게 작동하는지, 증거를 어디서 찾아야 하는지 등을 살펴볼 것이다.

[ 인터넷 개요 ]

-  웹 페이지의 작동 방식: 먼저 사용자가 브라우저 주소 창에 웹 주소나 URL(Uniform Resource Locator)를 입력한다. URL은 호스트, 도메인 이름, 파일 이름의 세 부분으로 구성되어 있다.

 

http://www.digitalforensics.com을 예시로 살펴보자.

• HTTP(Hypertext Transfer Protocol, 하이퍼텍스트 전송 규약): 인터넷에서 사용되는 프로토콜이고, 웹 사이트를 보고 사용하는 데 활용된다. 프로토콜은 다른 장비와 통신할 수 있도록 사전에 협의한 방법이다.
• 도메인 이름: "digital forensics"가 이에 해당한다.
• 최상위 도메인: 인터넷 도메인 네임 시스템(domain name system)을 구성하는 요소 중 최상단(top)에 위치해 있다. 예시로는 .com, .org, .edu, .net 등이 있다.

브라우저는 인터넷에 있는 정보를 보고 접속할 때 사용하는 프로그램이다. 브라우저는 HTTP 프로토콜을 사용해 www.digitalforensics.com 을 호스트하는 서버에 "get" 요청을 전송한다.

Ex) 마이크로소프트의 인터넷 익스플로러, 모질라의 파이어폭스, 구글의 크롬 등 

 

URL을 입력한 후 브라우저는 도메인 이름을 IP(Internet Protocol) 주소로 변환해야 한다. 인터넷은 IP 주소로 작동하며 도메인 이름 자체로는 아무것도 할 수 없다. 도메인 이름은 사람들이 기억하기 쉽게 하기 위한 목적일 뿐이다. 도메인 네임 서버(Domain Name Server, DNS)가 특정 도메인 이름을 그에 해당하는 IP 주소로 변환한다. 이후 웸 사이트를 호스트하고 있는 서버에 요청이 전송되고, 서버는 요청을 받아 요청된 웹 페이지와 관련된 내용을 보여준다.

 

- 웹 페이지의 구성 요소: HTML(Hypertext Markup Language, 하이퍼텍스트 생성 언어) 문서

• HTML에는 브라우저에서 페이지가 표시되는 방법, 페이지의 내용 등 많은 정보가 저장된다.
• HTML에는 이미지 파일같이 웹 페이지를 구성하고 있는 요소의 파일이름도 포함하고 있다.
• HTML은 프로그래밍 언어가 아니다.

- 웹 페이지의 종류: 정적(static)과 동적(dynamic)

• 정적 웹 페이지: 이미 만들어져 있는 페이지다. Ex) 페이지의 내용, 레이아웃 등
• 동적 웹 페이지: 요청됨과 "동시에" 만들어진다. 즉, 동적 페이지는 요청이 될 때까지 존재하지 않는다. 동적 페이지는 데이터베이스에 저장되어 있는 여러 구성요소로 만들어진다. 예를 들어 쇼핑몰 페이지에서 서버는 모든 사람에게 공통적으로 보여주는 아이템과 해당 사용자를 위한 내용을 전송한다.

웹 사이트를 방문할 때에는 흔적을 찾는 데 도움이 될 수 있도록 포렌식적으로 어떤 작업이 어떻게 진행되는지를 이해하는 것이 중요하다. 특정 작업은 Client-side로 동작하거나 Server-side로 동작할 수 있다, 

 

예시로 자바스크립트는 Client-side로 동작한다. 자바스크립트 코드는 특정 클라이언트 컴퓨터에서 다운로드되어 실행될 수 있도록 한다. Server-side로 동작하는 코드는 이와 반대이고, 다른 컴퓨터에 정보를 보내야 할 때 사용된다.

웹 기술에 대해 조금 더 알고 싶다면 http://www.w3schools.com/사이트를 방문해 보자.

특정 도메인 이름과 관련이 있는 개인이나 업체를 식별할 때는 "whois" 검색 쿼리를 사용할 수 있다. whois 검색으로 해당 도메인 등록자, 도메인 생성 날짜, 관리자 연락처, 기술담당 연락처 등의 내용을 볼 수 있다. 하지만 최근에는 대부분 도메인 이름 등록 서비스는 사생활 보호 등록 서비스를 제공하고, 이럴 경우에는 whois 검색을 해도 실제 등록자의 정보보다 등록회사의 정보밖에 볼 수 없다. 

이 부분에 대한 실습이 필요하면 http://networksolutions.com/whois/index.jsp를 방문하자.

< P2P(Peer-to-Peer) >

: 파일을 공유하는 데 주로 사용된다. P2P 네트워크 트래픽에서 큰 비중을 차지하는 것은 불법 MP3, 불법 영화, 아동 포르노 등이다. P2P 네트워크에서는 하나의 컴퓨터가 클라이언트/서버의 두 가지 역할을 모두 수행할 수 있다.

그누텔라(Gnutella) 요청
P2P 네트워크 시스템이나 아키텍처에 사용되는 주요 기술 중에 하나다. P2P 네트워크에서 파일 요청이 끝없이 전파되는 것을 방지한다. 각 정보 패킷 안에는 TTL(Time To Live) 값이 있다. TTL 값은 네트워크의 다른 노드에 전달될 때마다 1씩 감소되게 설정되어 있다. 그 숫자가 0이 되면 패킷은 전파를 중단한다.

P2P 네트워크를 사용하기 위해서는 KaZaA, Frostwrite, GigaTribe, eMule 등 P2P 클라이언트 프로그램을 설치해야 한다. 그다음 일반적으로 사용자는 다른 사용자가 다운로드할 수 있는 파일이 저장된 "공유" 폴더를 만든다.

 

사용자는 보통 파일이름으로 다운로드하고 싶은 파일을 검색해 원하는 파일이 저장되어 있는 컴퓨터의 목록을 볼 수 있다. 마지막으로 사용자가 파일을 다운로드하면 지정된 디렉터리나 기본 설정 폴더에 파일이 다운로드된다. P2P는 HTTP를 사용해 파일을 전송한다.

 

그누텔라에 있는 노드는 필요한 대역폭과 가동 기간(네트워크에 있는 시간)이 존재하는 울트라피어(ultrapeer)와 그 이외의 리프(leaf), 두 종류로 분류된다. 울트라피어는 검색, 인덱싱, 연결 등을 가능하게 하는 추가적인 임무를 수행한다.

< INDEX.DAT 파일 >

: 바이너리 파일로 마이크로소프트의 인터넷 익스플로러가 사용된다. 시스템에는 여러 개의 INDEX.DAT 파일이 있고, 이 파일은 방문한 URL, 방문 횟수 등의 다양한 정보를 기록하고 유지한다. 이러한 파일은 일반 사용자로부터 숨겨져 있고 반드시 FTK, EnCase 등의 툴을 사용해야 볼 수 있다. INDEX.DAT 파일들은 IE에 존재하는 히스토리, 쿠키, 임시 인터넷 파일 각 디렉터리에 있는 정보와 내용을 기록하고 유지하는 데 사용된다.

[ 웹 브라우저 - 인터넷 익스플로러(IE) ]

: 모든 브라우저의 근본은 동일한 원리로 작동하고 있다. 예로, 모든 브라우저는 어느 정도의 캐시 시스템을 사용하고, 쿠키, 인터넷 히스토리, 입력한 URL, 즐겨 찾기 등의 기능들을 모두 가지고 있다. 하지만 세부적으로 동작하는 방식은 다르다. 모든 브라우저에 대한 내용을 모두 다루기 힘들기 때문에 이 책에서는 시장에서 압도적인 위치에 있는 IE와 다른 브라우저에 있는 일반적인 기능에 대해 살펴보고 있다.

< 쿠키 >

: 웹 서버가 사용자의 컴퓨터에 저장해놓은 조그마한 텍스트 파일이다. 쿠키는 세션을 관리하는 데 사용될 뿐만 아니라 특정 웹 사이트에서 사용자의 선호사항을 기억하는 수준의 개별화에도 사용될 수 있다. 

 

쿠키는 매우 중요한 증거를 제공하고 하나의 INDEX.DAT 파일에서 관리된다. 이 파일에는 URL, 날짜와 시간, 사용자 이름 등이 저장되어 있다. 쿠키 값은 보통 평문으로 저장되어 있지 않지만 쿠키 값을 해독해주는 툴이 있다. 주의할 점은 쿠키에서 웹 주소가 발견되었더라도 용의자가 실제로 그 사이트를 방문하지 않았을 수 있다는 점이다.

< 임시 인터넷 파일(웹 캐시) >

: 웹 캐시로 다운로드 시간을 단축시킬 수 있다. 캐시는 사진 파일과 같은 웹 페이지 구성요소를 재사용해 동일한 파일을 여러번 다운로드해야 하는 시간을 제거해 속도를 향상시킨다.

 

IE는 웹 캐시를 임시 인터넷 파일이라고 부른다. IE에서 임시 인터넷 파일은 하부 폴더로 정리되어 있고 각 폴더는 8 문자의 임의의 이름으로 되어 있다. 임시 인터넷 파일은 INDEX.DAT 파일을 사용해 관리된다. 임시 인터넷 폴더의 각 파일들은 그에 상응하는 날짜와 시간 값이 있고, 브라우저는 "마지막으로 확인한 날짜" 정보를 이용해 서버에 페이지 최신 버전이 있는지 확인한다. 최신 버전이 있다면 브라우저는 최신 버전을 다운로드한다.

 

사용자들은 윈도우 탐색기로 임시 인터넷 폴더를 볼 수 있다. 윈도우 탐색기는 임시 인터넷 폴더 안에 있는 내용을 목록화해 보여준다. 목록의 각 아이템은 아이콘으로 파일 타입을 알 수 있고 파일 이름, 관련 URL 등을 확인할 수 있다. 사용자가 보는 파일은 실제 내용을 가상화해 보여준다. 실제 파일들은 임시 인터넷 폴더의 하부 디렉터리에 저장되어 있고, INDEX.DAT은 특정 파일이 어디에 있는지 관리한다.

 

임시 인터넷 파일에서 웹 메일 증거를 찾을 수도 있다. 나중에 유용할 수 있는 메시지나 사서함 정보를 남기고, 이러한 정보는 파일 이름으로 알아볼 수 있다. 아래는 일부 예시다.

• Outlook Web Access Messages - Read[#].htm
• AOL 메시지 - Msgview[#].htm
• Hotmail 메시지 - getmsg[#].htm
• Yahoo! - ShowLetter[#].htm
• Outlook Web Access Inbox - Main[#].htm
• AOL Inbox - Msglist[#].htm
• Hotmail Inbox - HoTMail[#].htm
• Yahoo! - ShowFolder.htm

웹 캐시는 유죄와 의도를 판단하는 데 사용될 수 있다. 임시 인터넷 폴더에는 대부분 썸네일(조그마한 사진)과 웹 페이지 정보의 조각들로 구성되어 있다. 사진들이 모두 조그마한 캐시 형태로 구성되어 있으면 사용자의 동의 없이 자동으로 다운로드되었을 수 있어 증거로서 커다란 효력을 발생시키지 못한다. 보통 웹 캐시에서는 찾기 힘들지만 커다란 사진을 발견했다면 이는 부인하기 훨씬 어려워진다.

캐시와 HTTPS
HTTPS는 인터넷에서 사용되는 HTTP 프로토콜에 보안 기능이 추가된 버전이다. 보안적인 이유로 IE 기본 설정에서는 HTTPS 웹 페이지를 캐시하지 않는다. 따라서 HTTPS 웹 트래픽과 관련된 사건을 조사해야 할 때 주의해야 한다. 만약 캐시에 저장되지 않았다면 관련 데이터를 캐시에서 찾을 수 없을 것이다.

< 인터넷 기록 >

: IE는 사용자의 기록을 유지해 사용자는 매번 브라우저의 주소 창에 URL을 재입력하지 않아도 된다. 인터넷 기록은 여러 개의 폴더와 INDEX.DAT 파일들로 구성되어 있다. INDEX.DAT 파일은 특정 사이트의 방문 횟수, 파일명 등의 다른 세부내용도 유지하고 관리한다. 

 

이러한 폴더는 사전에 정해진 이름을 짓는 방법을 사용하고, 그 뒤에 날짜 범위를 적는다.

MSHist012020100120201008
MSHist01 - 폴더 이름
2020 - 연도 (시작)
1001 - 날짜 (시작)
2020 - 연도 (마지막)
1008 - 날짜(마지막)

기록을 삭제하기 위해서는 사용자가 직접 수동으로 하거나 시스템에서 자동으로 하도록 할 수도 있다. 기본 설정으로 인터넷 기록은 20일마다 삭제되도록 되어 있다. 수동으로 할 경우 이보다 더 빨리 데이터가 삭제될 수 있다. 레지스트리를 읽을 수 있는 툴을 사용한다면 아래와 같은 레지스트리에서 값을 읽어올 수 있다.

NTUSERS\Software Microsoft\Windows\CurrentVersion\Internet Settings\URLHistory

NTUSER.DAT 파일
NTUSER.DAT 파일에는 설정과 각 사용자 프로파일을 위한 정보를 저장한다. 브라우저의 기록은 이러한 정보의 일부이다. 시스템에 있는 프로파일 당 하나의 NTUSER.DAT 파일이 있다. 실제로 레지스트리 파일이지만 NTUSER.DAT는 사용자 폴더에 저장된다. 하지만 특정 사람의 프로파일이 컴퓨터에 있다고 해서 실제 특정 시점에 그들이 컴퓨터를 사용하고 있었다고 단정할 수는 없다.

< 레지스트리에 있는 인터넷 익스플로러의 흔적 >

: IE에서 레지스트리에 남기는 흔적은 NTUSER.DAT에 저장되어 있다. 여기서 브라우저의 비밀번호 저장 유무, 디폴트 검색 사이트, 디폴트 검색 제공자 등에 대해 알 수 있다.

 

또한 레지스트리는 사용자가 주소창에 어떤 URL을 입력했는지도 확인할 수 있다. 최근 입력한 주소는 1부터 25까지 최대 25개 항목을 저장한다. 각 항목은 오래된 항목부터 삭제된다. 아래는 레지스트리 값에 대한 파일 경로다.

NTUSER\Software\Microsoft\Internet Explorer\Typed URLs

사용자가 직접 레지스트리를 읽을 수 없어 레지스트리를 조사하기 위해서는 RegEdit, 할란 카비(Harlan Carvey)의 RegRipper, AccessData의 Registry Viewer 등의 툴이 필요하다.

< 메신저 프로그램 >

: 메신저 프로그램은 텍스트 기반의 실시간 통신을 하는 데 사용된다. 메신저 프로그램은 아동 포르노 유포, 마약 거래 협상 등의 다양한 범죄를 계획하거나 실행할 때 사용될 수 있다. 각 프로그램과 버전에 따라 기능은 다르고 다른 흔적을 남긴다. 이러한 프로그램은 빠르게 변화하므로 최신 지식을 지속적으로 유지하기 힘들다. 이러한 변화로 인해 흔적이 옮겨지거나 사라질 수도 있다. 

 

메신저 프로그램은 설치 여부를 흔적으로 남긴다. 경로와 디렉터리는 다를 수 있지만 특정 파일이나 폴더의 유무에 따라 피해자나 공범자와 대화하는 데 메신저 프로그램이 사용되었는지 증명 또는 반증하는 데 사용할 수 있다.

 

메신저 프로그램은 연락처 또는 "친구" 목록을 유지한다. 이러한 대화명 또는 스크린 네임 목록은 여러 사람의 관계를 확인하는 데 사용할 수 있다. 대화명은 아무런 의미가 없는 경우가 많고 특정 인물과 그 대화명을 연결하려면 추가적인 작업이 필요하다. 키워드 검색 시 대화명을 입력하는 것도 도움이 된다. 하지만 한 사람이 여러 개의 대화명을 가지는 경우, 문제가 복잡해진다. 이러한 경우 여러 개의 대화명은 주로 사용하는 대화명을 기반으로 부-모 관계를 유지한다.

 

사용자는 다른 사람을 차단해 그들과의 대화를 차단할 수 있다. 이 기능을 사용하면 이와 관련된 설정이 어디선가 확인 가능하고 잠재적으로 관련 흔적이 있을 것이다. 종종 클라이언트 프로그램은 최근 채팅 목록으로 유지한다.

 

추가로 사용자가 통제할 수 있는 다른 설정 사항은 채팅에서 날짜 시간 사용, 개인 아이콘이나 사진 사용, 로그 활성화 또는 비활성화 등이 있다. 로그 기능은 활성화되어 있다면 매우 중요한 증거로 활용된다.

 

기본적으로 로그 기능은 활성화되어 있지 않고, 사용자가 직접 기능을 활성화해야 사용할 수 있다. 로그에는 보통 대화 내용, 연결 내용과 같은 정보가 기록된다. 로그 기능을 사용하지 않더라도 사용자는 필요에 따라 특정 대화를 저장할 수 있다. 로그 기능이 활성화된 것과 수동으로 세션 로그를 저장할 때의 가장 큰 차이는 파일의 저장 위치다. 일반적으로 자동으로 저장되는 로그는 디폴트 위치에 저장되고, 수동으로 저장되는 로그는 저장할 위치를 선택할 수 있다.

 

또한, 영상통화, 파일 전송, 실시간 메시지 등이 자동으로 수락되는지도 확인해야 한다. 기본적으로 이러한 기능 대부분이 비활성화되어 있다. 이로 인해 특정 사진이 동의 없이 다운로드되지 않았다는 것을 증명할 수 있다. 

 

일부 메신저 프로그램들은 사용자가 그들의 계정과 휴대폰(1개 이상 가능)을 연결할 수 있게 한다. 이 경우에는 메시지를 휴대폰에서도 받을 수 있고 전화번호와 계정 정보를 엮어서 특정 대화명의 신분을 확인하는 데 사용할 수 있다.

< IRC(Internet Relay Chat) >

: 많은 사람들이 사용하는 상업용 메신저 프로그램 외에도 조사해야 할 메신저 프로그램이 있다. 그중 하나인 IRC(Internet Relay Chat)는 대규모 채팅 네트워크로서 특정 업체나 단체가 통제하는 것이 아니므로 감독하는 사람이 거의 없다. 또한 정식적인 등록 과정이 없어 사용자는 거의 완전한 익명성을 보장받는다. IRC 네트워크는 Undernet, IRCnet, EFnet 등 여러 개의 소규모 네트워크로 구성되어 있다. IRC 사용자들은 자신만의 채팅방 또는 "채널"을 생성해 네트워크 침투, 신분 도용, 아동 포르노 등의 많은 범죄자들을 유혹한다.

< ICQ "I Seek You" >

: 이 외에도 ICQ 역시 유심히 살펴봐야 할 또 다른 메신저 프로그램이다.

 

IRC와는 다르게 ICQ에는 등록 과정이 있고 등록된 사용자는 사용자 식별 번호 또는 UIN(User Identification Number)을 부여받는다. ICQ의 대화는 높은 수준의 프라이버시를 유지하므로 대화를 하기 위해서는 초청받아야 한다. ICQ는 중앙 서버를 통해 트래픽을 라우팅하고 있어 서버를 찾을 수만 있다면 일부 흔적이 서버에 남아있을 수 있다.

[ 이메일 ]

: 이메일은 매우 영속성이 강하고 여러 곳에 저장되어 있어 삭제하기 힘들다.

< 이메일 접속 >

: 이메일을 접속하고 관리하는 방법은 두 가지가 있다. 첫 번째는 인터넷으로 접속하는 방법으로, 웹 브라우저를 사용한다. 두 번째는 이메일 클라이언트 프로그램을 사용하는 것이다. 일부 프로그램은 달력, 업무, 연락처 등도 관리한다. 

 

아웃룩은 데이터를 .pst나 .ost 파일로 저장한다. 윈도우 라이브 메일과 아웃룩 익스프레스는 .dbx를 사용한다. 최근에는 다양한 툴을 사용해 이러한 파일을 손쉽게 처리할 수 있게 되었다. 각각의 이메일 메시(.msg 파일)은 "내보내기" 기능을 활용해 수사관이나 변호사가 검토할 수 있도록 전달할 수도 있다.

< 이메일 프로토콜 >

: 이메일은 다양한 프로토콜을 사용해 송수신한다. 프로토콜에는 아래와 같은 예시가 있다.

• 단순 우편전송 규약(Simple Mail Transfer Protocol, SMTP) - 이메일 클라이언트가 이메일을 보내거나 서버가 이메일을 송수신할 때 사용한다.
• 우체국 프로토콜(Post Office Protocol, POP) - 이메일 클라이언트가 이메일을 받을 때 사용한다.
• 아이맵(Internet Message Access Protocol, IMAP) - 양방향 통신 프로토콜로 클라이언트가 서버에 있는 이메일에 접근할 때 사용한다.

< 증거로서의 이메일 >

: 이메일에서 수집할 수 있는 잠재적 증거는 아래와 같다.

• 사건과 관련 있는 내용의 이메일
• 이메일 주소
• IP 주소
• 날짜와 시간

이메일 수사 시에는 용의자의 컴퓨터, 수신자의 컴퓨터, 회사 서버, 백업 매체, 스마트폰, 서비스 제공자, 이메일 전송 경로에 있던 서버 등의 여러 곳에서 이메일 데이터를 발견할 수 있다. 대부분의 웹 기반 증거처럼 시간이 매우 중요하다. 증거를 빨리 수집하는 것이 나중에 수집하는 것보다 성공할 확률이 높다.

 

이메일의 주요 구성요소는 헤더, 바디, 첨부 파일 등이다. 전송한 모든 이메일 메시지에는 헤더가 있다. 헤더는 송신자가 수신자로 이메일을 보낼 때 거쳤던 경로 정보를 기록한다. 서버 하나를 거칠 때마다 헤더에 정보가 추가된다. 이메일의 바디는 메시지 자체다. 마지막으로 첨부 파일이 추가된다. 첨부 파일에는 사진, 문서, 스프레드시트 파일 등 사용자가 생성한 파일을 포함한다. 첨부파일은 없을 수도 있고, 있다면 증거 관점에서 수집하는 것이 좋다.

< 이메일 - 흔적 지우기 >

: 기술적으로 해박한 용의자는 다른 사람이 메시지를 추적하지 못하게 조치를 취했을 수도 있다. 예로 이메일을 위조할 수 있고(다른 사람이 보낸 것처럼 보이게 함), 헤더를 제거하거나 수정하고, 가짜 이메일 계정을 생성할 수도 있다.

 

인터넷에는 사용자가 이메일이 실제로 다른 사람 또는 다른 위치에서 보내진 것처럼 보이게 위조하는 "스푸핑(spoof)" 해주는 무료 소프트웨어가 있다. 또한, 이메일 메시지를 전송하기 전에 식별 정보를 제거해서 재전송해주는 서비스도 있다. 이러한 업체들은 사용자의 사생활을 더욱 보장하기 위해 대부분 로그를 남기지 않는다.

공용 이메일 계정
실제로 이메일을 보내지 않고도 서로 주고받을 수 있다. 사용자가 익명의 계정을 생성해 로그인 정보를 다른 사람과 공유하는 것이다. 사용자는 단순히 메시지를 생성해 "임시 보관함" 폴더에 저장해 다른 사람이 읽을 수 있도록 한다. 다른 사람이 메시지를 읽으면 그 메시지를 삭제한다. 이러한 계정은 "일회용" 계정이 될 수 있어 추적이나 모니터가 거의 불가능하며 주로 테러범들이 자주 사용한다.
http://www.pbs.org/wgbh/pages/frontline/shows/special/techsidebar.html

< 이메일 추적 >

: 이메일 메시지를 추적할 때에는 로그에 크게 의존한다. 이메일 경로에 있는 각 서버는 메시지 헤더에 정보를 추가한다. 그 정보 중 하나는 이메일 서버가 할당하는 고유 번호인 메시지 ID다. 메시지 ID와 서버의 로그 상관관계를 확인하면 특정 컴퓨터에서 메시지가 송수신되었다는 것을 증명할 수 있다. 하지만 서비스 제공 업체가 로그를 주기적으로 삭제할 수도 있고, 외국에 있는 업체는 상대하기 더욱 힘들어 증거를 수집하기 어려울 수 있다.

< 이메일 헤더 >

: 이메일 헤더는 발송자가 수신자에게 메시지를 보낼 때 헤더를 수정하거나 제거하는 단계를 거치지 않는다는 가정 하에 메시지가 사용한 경로를 기록한다. 이메일 헤더 정보는 아래서 위로 읽어야 한다.

[ 소셜 네트워크 사이트 ]

: 소셜 매체 증거는 용의자의 컴퓨터, 스마트폰, 서비스 제공자의 네트워크 등을 포함해 다양한 곳에서 수집할 수 있다. 서비스 제공 업체로부터 증거를 수집하기 위해서는 비교적 빨리 소환장과 수색영장을 받아 데이터를 수집해야 한다. 이 업체들은 이러한 정보를 특정 기간만 보존한다. 특정 시점이 지나면 필요로 하는 데이터는 삭제될 수 있다. 

 

로컬 컴퓨터에서 증거를 복원하는 것은 쉽지 않다. 페이지 파일(또는 스웝 공간), INDEX.DAT 파일 등에 증거가 있을 수 있다. 아래는 INDEX.DAT 파일에 증거가 있는 예시에 대한 것이다.

• 확인 이메일(계정 생성 시 오는 이메일)은 History.IE5\Index.dat 파일에 저장된다.
• 사용자의 페이스북 프로파일은 profile[#].htm 파일로 저장된다. 이 파일은 Content.IE5 디렉터리에 있다.
• History.IE Index.dat 파일은 페이스북 친구 검색 결과가 저장되어 있을 수 있다.

이와 관련되어 추가적으로 케이시 안토니 재판에 대한 예시를 들 수 있는데 자세한 정보는 아래 링크를 참고하자.
http://www.myfoxorlando.com/dpp/news/060811-kevin-stenger-testifies

 

참고한 도서: www.kyobobook.co.kr/product/detailViewKor.laf?ejkGb=KOR&mallGb=KOR&barcode=9788994774206&orderClick=LEa&Kc=

이제 시작이야 디지털 포렌식 - 교보문고