[BoB] Indicators of Anti-Forensics Investigator Survey (Korean)
1. 포렌식 분석 업무 기간이 어떻게 되시나요?
2. 포렌식 분석 시 증거물 1개당 혹은 디스크 하나 당 평균 얼마의 시간이 소요되나요?
3. 안티 포렌식 탐지 툴에 대하여 들어보신 적이 있으십니까?
4. 포렌식 분석 시 안티 포렌식 툴이 사용된 시스템을 분석하신 경험이 있으신가요?
5. 안티 포렌식 툴이 사용 된 시스템을 분석하셨다면 그렇지 않은 시스템을 분석할 때 보다 어느정도의 시간소비가 더 있으신가요?
6. 안티 포렌식 탐지 툴의 필요성에 대해서 느끼신 적이 있으신가요?
7. 분석 전 안티포렌식 행위를 탐지 할 수 있다면 분석에 용이하다고 생각하십니까?
8. 안티포렌식 탐지 툴에 있었으면하는 기능이 있다면 무엇인가요?
9. 분석시에 가장 많이 보였던 안티포렌식 툴은 무엇인가요?
| 3년 이상 | '4-5일 | 있다 | 있다 | 예상할 수 없음 | 있다 | 용이하다 | 안티포렌식의 범위가 어느 정도인지 모르겠음암호 프로그램의 사용부터 전문삭제 프로그램의 사용 또는 steaganography까지 사용하는 것을 전제로 하는 것인지 명확한 정의가 필요할 것 같음.해당 목적에 따라 안티포렌식 탐지 툴이 개별적으로 만들어지고 그것을 마지막에 통합하는 것이 가장 좋을 듯 싶네요. | 패스워드 설정 암호화 |
| 1년 이상 ~ 3년 미만 | 10 | 없다 | 있다 | 48 | 있다 | 용이하다 | 방식과 설치 혹은 실행 날짜해당 방식에 대한 영향을 미치는 범위에 대한 안내 | 루팅툴 |
| 1년 이상 ~ 3년 미만 | 24~48 | 있다 | 있다 | 24시간 이상 | 있다 | 용이하다 | - 기존의 삭제된 파일의 정보(제목, 시간, 등)- 안티포렌식 도구 정보 | spaceEraser |
| 3년 이상 | 500G기준 4시간 | 있다 | 없다 | 1-2시간정도 | 있다 | 용이하다 | ||
| 3년 이상 | 24 | 있다 | 있다 | 10 | 있다 | 용이하다 | Install 여부, Portable 실행여부, 총 실행 횟수 및 삭제된 영역 확인 등 | CCleaner |
| 3년 이상 | 24 | 있다 | 없다 | - | 있다 | 용이하다 | 메모리 해킹 탐토르 네트워크 탐지 | timestomp |
| 3년 이상 | 6 | 있다 | 있다 | 6 | 있다 | 용이하다 | 타임라인 수정 | final eraser |
| 6개월 이하 | 6 | 있다 | 없다 | 3 | 있다 | 용이하다 | 먼저 안티포렌식 툴이 실행되는 것을 탐지할 것인지, 실행된 흔적을 탐지할 것인지에서 기능들이 달라지겠지만, 전자의 기준으로 보았을 때, 활성시스템 상태에서 현재 실행중인 프로세스에 대한 검사를 통해 탐지를 하는 퀵서치, 디스크내의 설치된 프로그램을 확인하는 정밀 검사 등의 기능이 있으면 좋을 듯 합니다. | 일반적인 클리너, Wipe |
| 1년 이상 ~ 3년 미만 | 72 | 있다 | 있다 | 상황에따라 다름 | 있다 | 용이하다 | ccleaner | |
| 6개월 이상 ~ 1년 미만 | 80 | 있다 | 없다 | 0 | 있다 | 용이하다 | ||
| 1년 이상 ~ 3년 미만 | 120 | 없다 | 인지한적 없다 | 1.3배 정도 | 있다 | 용이하다 | 완전삭제 탐지, 레지스트리 정보 및 인터넷 삭제 흔적 | 고클린 |
