KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

A Study to Improve Recovery Ratio of Deleted File Using the Parsing Algorithm of the HFS + Journal File

HFS+ 저널 파일 파싱 알고리즘을 이용한 삭제된 파일 복구 기법 향상 방안

  • 방승규 (고려대학교 정보보호대학원 정보보호학과) ;
  • 전상준 (고려대학교 정보보호대학원 정보보호학과) ;
  • 김도현 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.06.29
  • Accepted : 2016.09.08
  • Published : 2016.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

With the growing demand for MAC-based system, the need for digital forensic techniques of these system has been increasing. In the digital forensic analysis process, sometimes analysts have recovered the deleted files when they prove the allegations if system user try to remove the evidence deliberately. Research and analysis that recover the deleted files from a file system constantly been made and HFS+ that is a file system of MAC-based system also has been researched. Carving techniques primarily has been used to recover the deleted file from HFS+ a file system because metadata of folder or file overwrite metadata of a deleted file when file is deleted from a file system on HFS+ characteristic. But if the file content is saved by separated state in a file system, Carving techniques also can't recover the whole or a part of the deleted file. In this paper we describe technique the deleted file recovery technique using HFS+ file system a journal. This technique that is suggested by existing research and analysis result is the technique that recover the deleted file by metadata that is maintained in a journal on HFS+ file system. but this technique excludes specific files and this problem needs to be reformed. In this paper we suggest algorithm that analysis a journal of HFS+ file system in detail. And we demonstrate that the deleted file cat be recovered from the extracted metadata by this algorithm without the excluded file.

최근 MAC 시스템의 점유율 증가로 MAC 기반 디지털 포렌식 기술의 필요성이 증대되고 있다. 디지털 포렌식 분석 과정에서 시스템 사용자가 의도적으로 증거를 삭제한 경우, 시스템에서 삭제된 파일을 복구하여 혐의를 입증하기도 한다. 이를 위해 파일시스템으로부터 삭제된 파일을 복구하기 위한 연구가 꾸준히 이루어져 왔으며, MAC 기반 파일시스템인 HFS+ 또한 이에 대한 연구가 수행되어왔다. HFS+의 운영 및 구조적 특성상 파일이 삭제되면 해당 파일의 메타데이터가 다른 파일 또는 폴더의 메타데이터에 의해 삭제되기 때문에 주로 시그니처를 활용한 카빙 기법이 사용되어왔다. 하지만 File Content가 파일시스템 상에 분할되어 저장되는 경우, 카빙 기법 또한 파일의 일부분만을 복구하거나 파일 전체를 복구할 수 없었다. 본 논문에서는 HFS+ 저널을 이용한 삭제된 파일의 복구 기법에 대해 소개한다. 이는 기존 연구를 통해 제안된 기법으로 HFS+ 저널에 남아있는 메타데이터를 이용하여 삭제된 파일을 복구하는 기법이다. 하지만 해당 기법은 특정 파일이 복구 대상에서 배제되기 때문에 이에 대한 개선의 여지가 남아있다. 본 연구에서는 HFS+ 저널을 상세히 분석할 수 있는 알고리즘을 제시한다. 또한 해당 알고리즘을 기반으로 추출한 메타데이터를 통해 복구 대상에서 배제되는 파일 없이 삭제된 파일을 복구할 수 있음을 실험을 통해 입증한다.

Keywords

References

  1. Z. Kai, C. En, and G. Qinquan, "Analysis and implementation of NTFS file system based on computer forensics," Education Technology and Computer Science (ETCS), Vol.1, pp.325-328, 2010.
  2. Byeongyeong Yoo, et al, "A Study on a Carving Method for Deleted NTFS Compressed Files," Human-Centric Computing (HumanCom), 2010 3rd International Conference on. IEEE, pp.1-6, 2010.
  3. R. A. Joyce, J. Powers, and F. Adelstein, "MEGA: A tool for Mac OS X operating system and application forensics," Digital Investigation, Vol.5, pp.S83-S90, 2008. https://doi.org/10.1016/j.diin.2008.05.011
  4. A. Case and G. G. Richard, "Advancing Mac OS X rootkit detection," Digital Investigation, Vol.14, pp.S25-S33, 2015. https://doi.org/10.1016/j.diin.2015.05.005
  5. A. Burghardt and A. J. Feldman, "Using the HFS+ journal for deleted file recovery," Digital Investigation, Vol.5, pp.S76-S82, 2008. https://doi.org/10.1016/j.diin.2008.05.013
  6. HFS+ Deleted File Recovery EnScript [Internet], https://www.kazamiya.net/en/HFSJournalParser.
  7. Apple [Internet], https://developer.apple.com/legacy/library/technotes/tn/tn1150.html.
  8. Apple [Internet], hfs_format.h, http://opensource.apple.com//source/xnu/xnu-1456.1.26/bsd/hfs/hfs_format.h.
  9. iOS forensic tools [Internet], https://code.google.com/p/iphone-dataprotection/wiki/HFSJournalCarving.
  10. D. Comer, "Ubiquitous B-tree," ACM Computing Surveys (CSUR), Vol.11, No.2, pp.121-137, 1979. https://doi.org/10.1145/356770.356776
  11. Adobe Systems Incorporated, Document management - Portable document format - Part 1: PDF 1.7, Adobe Systems Incorporated, 2008.