PC 포렌식, 데이터복구

데이터복구 의뢰받은 삼성노트북

PC포렌식.

PC포렌식은 증거수집(라이브 데이터 수집, 정적 데이터 수집, 포렌식 이미징, 해시값 계산)과 증거분석(파일 시스템 분석, 이메일/문서 분석, 웹활동 분석, 레지스트리 분석, 메모리 분석, 시간대 분석), 보고서 작성(분석결과 요약 및 설명, 발견된 증거 제시 및 상관관계 설명, 사건 재구성 및 결론 제시)과 같은 과정으로 진행이 됩니다.
PC포렌식을 통해 확인해 볼 수 있는 내용들을 간단히 확인해 보겠습니다.

1. 시스템 정보.

하드웨어의 구성정보.(CPU, RAM, 디스크 등)
운영체제의 정보.(버전, 설치일자 등)
설치된 소프트웨어의 목록.

2. 사용자 활동.

사용자 계정 정보.(계정명, SID 등)
로그인 기록.(로그인/로그아웃 시간, 로그인 방법 등)

3. 네트워크 활동.

네트워크 연결 기록.(접속한 IP주소, 포트 정보 등)
네트워크 트래픽 분석.(패킷 캡처 및 분석)

4. 보안로그.

이벤트 로그 분석.(로그인 시도, 보안 이벤트 등)
방화벽 로그 분석.

5. 디지털 증거물.

이미지, 음성, 비디오 파일 분석.
메타데이터 분석.(파일 생성일, 수정일, 카메라 정보 등)

6. 암호화 관련.

암호화된 파일, 볼륨, 키 관리 정보 등의 분석.

7. 모바일 기기 연동 정보.

스마트폰, 태블릿과의 연동 기록 분석.
PC포렌식은 법정 소송과 관련한 내용들로 의뢰를 합니다.
일반적으로 개인의 경우 해킹조사나 sns와 관련된 의뢰를 하며 기업들의 경우 퇴사자가 악의적으로 사용하던 pc에서 기업의 중요자료들을 삭제하거나 기밀을 유출한 것의 의심될 때 의뢰를 합니다.
 

PC데이터복구.

PC에서 데이터를 복구한다고 하는 것은 일반적으로 내장되어 있는 하드디스크에 있던 폴더/파일 등을 복구하는 것을 의미합니다.
최근 자주 의뢰받는 케이스는 바탕화면에서 사용하던 파일들을 실수로 삭제했다는 것으로 아쉽게도 SSD가 C드라이브용으로 사용되는 것이 일반화된 요즘엔 바탕화면 등 C드라이브의 영역에서 삭제된 파일을 완벽하게 복구해 낼 확률이 낮습니다.
그런데 요즘은 HDD도 기능성이 좋아지면서 삭제된 파일이 복구되기엔 불리한 환경이 조성되어가고 있습니다.
따라서, 중요도가 매우 높은 데이터들의 경우 외장하드나 usb, 서버 등에 2중 또는 3중 백업을 잘해두셔야 합니다.
아래 설명드릴 데이터복구의 성공률을 높이기 위한 방법은 PC 뿐 아니라 대부분의 디지털 저장매체에 공통적으로 적용할 수 있습니다.

1. 전원 off.

데이터복구의 성공확률을 높이기 위해서 가장 중요하며 유효한 거의 유일한 방법이라고 여겨집니다.
데이터가 삭제된 것을 인지한 후 즉시 전원을 off 한 경우 C드라이브로 사용 중인 SSD에서도 데이터복구를 성공한 케이스가 많습니다.

2. 데이터유입 최소화.

복구해야 할 데이터가 자리하던 위치에 새로운 데이터가 덮여 써지는 것은 데이터복구의 성공률을 낮추는 요인 중 하나이므로 새로운 데이터가 유입되는 것을 방지하는 것은 데이터복구 성공률을 높이는데 도움이 될 수도 있습니다.
업무 또는 중요한 연락이 있을 수 있어서 전원을 끄기 어려운 휴대폰의 경우, 최소한의 사용을 위해 모바일데이터를 차단하고 와이파이연결을 해제하여 추가데이터 유입과 강제 업데이트 등을 차단하는 것이 도움이 될 수 있습니다.

3. 신속한 상담.

데이터가 삭제된 것을 인지한 후 가급적 빠르게 전문가에게 의뢰하는 것으로 상황에 맞는 조치사항을 안내받아 데이터복구에 도움이 될 수 있는 조치를 신속히 할 수도 있으니 최대한 신속하게 전문가에게 문의하고 상담받는 것이 도움 될 수 있습니다.