Computer Science%/Forensic

Locard's exchange principle

ch4rli3kop 2017. 8. 31. 18:11
반응형

Locard's exchange principle


프랑스 과학자인 로카르는 법의학의 선구자로서 "모든 접촉은 흔적을 남긴다."라고 했다.


우리는 이와 같은 법칙이 디지털 영역에서도 적용이 된다는 점( 데이터의 교환 발생 시 항상 그 흔적이 남는다. )에서 착상하여, 

디지털 기기에서 여러가지 흔적들을 읽어낼 수 있다.


예를 들어, 데스크탑의 경우라면 레지스트리 키나, 로그파일같은 아티팩트들에서 그 흔적들을 발견할 수 있다.



하지만 , 이런면에서 로카드법칙이 사용되는 면도 있겠지만 다른 의미에서는 수사관에게 항상 주의를 요구한다.

데이터의 교환시 흔적이 남는다는 사실은 수사관이 증거를 다룰 때에도 그 흔적이 항상 남는다는 것을 의미하기 때문이다.


대표적으로 라이브 데이터를 수집할 시에, 수사관이 메모리를 캡처하려 할 경우이다. 

수사관이 메모리 캡처를 수행하는 그 순간에도 시스템 메모리는 변하기 때문에, 수사관은 스냅샷을 만드는 동안 소프트웨어가 최소한의 시스템 메모리만을 덮어쓰도록 하는 것에 신경써야할 것이다.   


아무튼 결론을 내자면, 디지털 포렌식은 가장 기본적으로 로카르( 로카드 혹은 로카르드 )의 교환법칙에 의거하여 이루어지고, 그 기본적인 사실이 계속해서 디지털 포렌식이 진행되는 과정에 영향을 미치므로, 수사관은 항상 이 점을 신경써야한다! 라는 것이다.


참고: 

*사이버 범죄 해결사 디지털 포렌식 ( 책 바로가기 -> )http://www.acornpub.co.kr/book/digital-forensics

*이제 시작이야 디지털 포렌식 

( 책 바로가기 -> )http://www.kyobobook.co.kr/product/detailViewKor.laf?barcode=9788994774206

*https://en.wikipedia.org/wiki/Locard%27s_exchange_principle



반응형

'Computer Science% > Forensic' 카테고리의 다른 글

Windows Registry  (0) 2018.01.17
.DS_STORE 파일이란  (1) 2017.10.25
파일 시그니처  (0) 2017.10.17
인코딩 디코딩 사이트  (0) 2017.10.14
포렌식 문제들 모음 사이트  (0) 2017.08.31