유니코드 변환이 적용된 NTFS 인덱스 레코드에 데이터를 숨기기 위한 안티포렌식 기법

An Anti-Forensic Technique for Hiding Data in NTFS Index Record with a Unicode Transformation

  • 조규상 (동양대학교/컴퓨터정보전학과)
  • 투고 : 2015.12.07
  • 심사 : 2015.12.29
  • 발행 : 2015.12.30

초록

윈도우즈 NTFS 파일시스템에서 인덱스 레코드에 데이터를 숨기기 위한 기법은 파일명을 이용하여 메시지를 숨기는 방법이다. 윈도우즈 NTFS의 파일명 규칙에서 일부 ASCII 문자는 파일명으로 사용할 수 없는 문제가 있다. 영문과 함께 한글, 기호 문자가 함께 입력이 될 때와 바이너리 형태의 데이터들이 입력될 때 인덱스 레코드에 데이터 숨기기 방법 수행 시에 파일생성 에러 문제가 발생하는 것을 해결하기 위한 방법으로 유니코드의 특정 영역으로 변환하는 방법을 제안한다. 에러가 발생하는 문자들을 한글과 영문 영역이 아닌 유니코드로 변환하고. 바이너리 형태의 데이터인 경우는 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 256개의 코드 전체를 변환하는 방식을 적용한다. 영문과 함께 한글이 사용된 경우에 제안한 방식이 적용된 사례의 결과를 보이고. 바이너리의 경우는 PNG이미지 파일의 바이너리 코드를 유니코드로 변환한 사례를 통해서 제안한 방법이 타당함을 보인다.

In an "NTFS Index Record Data Hiding" method messages are hidden by using file names. Windows NTFS file naming convention has some forbidden ASCII characters for a file name. When inputting Hangul with the Roman alphabet, if the forbidden characters for the file name and binary data are used, the codes are convert to a designated unicode point to avoid a file creation error due to unsuitable characters. In this paper, the problem of a file creation error due to non-admittable characters for the file name is fixed, which is used in the index record data hiding method. Using Hangul with Roman alphabet the characters cause a file creation error are converted to an arbitrary unicode point except Hangul and Roman alphabet area. When it comes to binary data, all 256 codes are converted to designated unicode area except an extended unicode(surrogate pairs) and ASCII code area. The results of the two cases, i.e. the Hangul with Roman alphabet case and the binary case, show the applicability of the proposed method.

키워드

참고문헌

  1. Michael T. Raggo, Chet HosmerB, 'Data Hiding: Exposing Concealed Data in Multimedia, Operating Systems', Syngress, 2013.
  2. H. Carvey, 'Windows Forensics and Incident Recovery', 2005.
  3. Metasploit, Anti Forensics Project, http://www.metasploit.com/research/projects/antiforensics/
  4. I. Thompson and M. Monroe, "FragFS: An Advanced Data Hiding Technique", BlackHat Federal, 2006.
  5. S. Piper et.al, "Detecting hidden data in EXT2/EXT3 file systems", Advances in Digital Forensics, pp. 245-256, 2006.
  6. E. Huebner, D. Bem and C. K. Wee, "Data hiding in the NTFS file system", Digital Investigation, Vol. 3, Issue 4, pp. 211-226, 2006. https://doi.org/10.1016/j.diin.2006.10.005
  7. Gyu-Sang Cho, "NTFS Directory Index Analysis for Computer Forensics", IMIS 2015, Blumenau Brazil, 2015.
  8. 조규상, "새로운 NTFS 디렉토리 인덱스 안티포렌식 기법", 한국정보전자통신기술학회 논문지, 8권, 4호, pp.327-337, 2015.
  9. Microsoft MSDN, "Naming Files, Paths, and Namespaces", https://msdn.microsoft.com/en-us/library/aa365247
  10. Microsoft MSDN, "Surrogates and Supplementary Characters", https://msdn.microsoft.com/ en-us/library/windows/desktop/dd374069