KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Record File Carving Technique for Efficient File Recovery in Digital Forensic Investigation

디지털 포렌식 조사에서 효율적인 파일 복구를 위한 레코드 파일 카빙 기법

  • 박민수 (고려대학교 정보보호대학원) ;
  • 박정흠 (고려대학교 정보보호대학원) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2012.09.20
  • Accepted : 2012.11.30
  • Published : 2013.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

These days digital data have become essential for digital investigation because most of the crime was occurred by using the digital devices. However, digital data is very easier to falsify or delete. If digital data was deleted, it is necessary to recover the deleted data for obtain digital evidence. Even though file carving is the most important thing to gather. digital evidence in digital forensic investigation, most of popular carving tools don't contemplate methods of selection or restoration for digital forensic investigation. The goal of this research is suggested files which can obtain useful information for digital forensic investigation and proposed new record file carving technique to be able to recover data effectively than before it.

최근 대부분의 범죄에 디지털 매체가 사용되면서 디지털 데이터는 필수 조사 대상이 되었다. 하지만 디지털 데이터는 비교적 쉽게 삭제 및 변조가 가능하다. 따라서 디지털 증거 획득을 위해 삭제된 데이터의 복구가 필요하며, 파일 카빙은 컴퓨터 포렌식 조사에서 증거를 획득할 수 있는 중요한 요소이다. 하지만 현재 사용되는 파일 카빙 도구들은 포렌식 조사를 위한 데이터의 선별을 고려하지 않고 있다. 또 기존의 파일 카빙 기법들은 파일의 일부 영역이 덮어써지거나 조각날 경우 복구가 불가능한 단점이 있다. 따라서 본 논문에서는 포렌식 조사시 유용한 정보를 획득할 수 있는 파일을 제안하고, 기존의 파일 카빙 기법보다 효과적으로 데이터를 복구할 수 있는 레코드 파일 카빙 기법을 제시한다.

Keywords

References

  1. Brian Carrier, "File System Forensic Analysis", Addison Wesley Professional, 2005.
  2. Jinkook Kim, "A Framework for Data Recovery and Analysis from Digital Forensics Point of View", Korea Information Processing Society. Vol.17-C, No.5, pp.391-398, 2010. https://doi.org/10.3745/KIPSTC.2010.17C.5.391
  3. Sungsu Lim, "The Research on File Carving Method of SQLite Database", 2010 The Workshop of Digital Forensics. pp.79-82, 2010.
  4. Digambar Povar, V.K. Bhadran, "Forensic Data Carving", Digital Forensics and Cyber Crime, Vol.53, pp.137-148, 2011. https://doi.org/10.1007/978-3-642-19513-6_12
  5. M.I Cohen, "Advanced carving techniques", Digital Investigation, Vol.4, Issues.3-4, pp.119-128, 2007. https://doi.org/10.1016/j.diin.2007.10.001
  6. Junghoon Oh, "A Study for recovering Deleted Information of Web Browser", 2010 The Workshop of Digital Forensics. pp.79-82, 2010.
  7. Robert Beverly, "Forensic carving of network packets and associated data structures", Digital Investigation, Vol.8, pp.78-89, 2011. https://doi.org/10.1016/j.diin.2011.04.002
  8. Sangjin Lee, "Introduction to Digital Forensics", Eroon. pp.180-181, 2010.
  9. http://www.getdata.com/, GetData
  10. Junghoon Oh "Advanced evidence collection and analysis of web browser activity", Digital Investigation, Vol.8, pp.62-70, 2011. https://doi.org/10.1016/j.diin.2011.05.008
  11. http://www.tcpdump.org/, TCPDUMP&LiBPCAP
  12. http://www.wireshark.org/, WIRESHARK

Cited by

  1. Study on Recovery Techniques for the Deleted or Damaged Event Log(EVTX) Files vol.26, pp.2, 2016, https://doi.org/10.13089/JKIISC.2016.26.2.387