디지털 증거는 디지털 데이터 형태로 존재(비휘발성) 하거나 존재하였던 것(휘발성)으로서 법정에 제출되는 것을 말한다.
이러한 디지털 증거는 크게 보관증거와 생성증거로 나눌 수 있다.
- 보관증거 : 사람이 직접적으로 작성한 데이터
- 생성증거(아티팩트) : 사람이 개입하지 않고, 기계가 동작(데이터를 처리)하는 과정에서 자동으로 생성되는 데이터
일반적으로 보관증거는 전문법칙에 의거하여 증거로써의 가치가 없으며 피의자의 진술 내용이 담긴 파일 등이 이에 해당한다. 디지털 포렌식적 관점에서 생성증거는 전문증거에 포함되지 않으며 실행 흔적 즉, 아티팩트(Artifact)라고도 불린다. 따라서, 아티팩트는 디지털 포렌식 과정에서 증거로 사용할 수 있는 모든 데이터를 의미한다.
대표적인 윈도우 시스템 아티팩트 종류
- JumpList
- Registry
- Prefetch
- LNK
- EventLog
Reference
'Digital_forensic > Theory' 카테고리의 다른 글
| 휘발성(Volatilities)과 비휘발성(Non-Volatilities) (0) | 2024.05.21 |
|---|---|
| 디지털 증거의 요소와 특성 (0) | 2024.05.20 |
| 해시(hash) 값 훼손, 결여 시 증거능력 확인방안 (0) | 2024.02.12 |
| [디지털 포렌식] 동일성과 무결성의 상관관계 (1) | 2024.02.12 |
| 디지털 포렌식(Digital Forensic)과 전문증거 (0) | 2024.02.09 |