본문 바로가기

Computer/0x05 디지털 포렌식

디지털 증거 수집 절차

디지털 증거 수집 절차






(1) 현장 사진 촬영 및 스케치 수행

: 컴퓨터 등 대상물의 앞, 뒷면 사진, 주변 장치를 포함한 사진, 전원이 켜져 있는 경우 모니터 화면 촬영

- 현장에 있는 수집 대상물의 위치를 상세히 스케치



(2) 네트워크 정보 등 휘발성 증거를 수집한 후 네트워크와 분리




(3) 수집 대상물 전원 확인


- 컴퓨터 등 수집 대상물의 전원이 꺼져 있는 경우 그대로 수집


- 전원이 커져 있는 경우 정상적인 시스템 종료 절차를 수행하면 임시 데이터가 삭제되므로

이를 방지하기 위해 컴퓨터의 경우 종료 절차 없이 전원 플러그 강제 분리

- 서비스 중인 서버의 경우 정상종료 




(4) 컴퓨터 본체 및 주변기기 확보를 원칙으로 부득이한 경우 하드 디스크만 분리 수집


- BIOS 메인 메뉴에서 시스템 시간과 날짜 정보 확인


- BIOS 전원을 끄고 본체에서 하드 디스크를 안전하게 분리 


- 컴퓨터 전원을 끄고 본체에서 하드 디스크를 안전하게 분리



(5) 외장형 디스크, USB 메모리등 기타 디지털 저장 매체와 각종 소프트웨어, 주변장치,케이블

등을 수집




(6) 증거물을 포장하고 상세 정보를 기재하여 증거물에 부


- 하드디스크는 보호 박스를 사용하여 개별 포장

- 컴퓨터 및 주변 장치 등에 대한 상세 정보를 ㄱ재하여 라벨로 증거물에 부착

- 상세 정보의 내용은 사건번호, 수집자, 입회인, 수집일시, 장소, 물품, 제조번호 등이고 하드디시크만

분리, 수집시 BIOS 시간 오차기록



(7) 압수

- 임의 제출 증명서 작성, 용의자에게 교부, 입회인으로부터 임의 제출 확인서 및 압수 증거물 목록에서 서명

날인을 받음




(8) 상황 조사서 작성


- 컴퓨터 사용자를 상대로 컴퓨터의 사용용도, 운영체제, 응용프로그램

- 패스워드가 설정된 프로그램명, 패스워드 정보 등을 확인 후 기록

- 피조사자 확인 및 서명 날인