KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Process of Collection for a Removable Storage Device Image Using a Software

소프트웨어를 이용한 이동식 저장매체 이미지 수집 절차

  • 백현우 (고려대학교 정보보호대학원 정보보호학과) ;
  • 전상준 (고려대학교 정보보호대학원 디지털포렌식연구센터) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.06.15
  • Accepted : 2016.10.25
  • Published : 2017.01.31
Download PDF
⟨ Previous Next ⟩

Abstract

As the prevalence of removable device, critical intelligences are often stored in the removable device. For that reason, in seizure and search, the removable device became a important evidence of while it could be has a salient key for prove a crime. When we acquired a removable device for proof, we image it by a imaging device or software with a write protection. However, these are high-priced exclusive equipments and sometimes it could be out of order. In addition, we found that some secure USB and inbuilt vaccine USB are failed to connect to the imaging device. Therefore, in this paper, we provide a suitable digital evidence collection procedure for real.

이동식 저장매체가 널리 보급됨에 따라 중요한 정보가 이동식 저장매체에 보관되는 경우가 많아지고 있다. 따라서 핵심적인 범죄 증거 역시 이동식 저장 매체에 존재할 가능성이 커지고 있으며 압수 수색 현장에서 이동식 저장 매체는 반드시 수집해야 할 대상이 되었다. 이동식 저장매체를 증거물로 획득한 경우 하드웨어 기반의 이미징 장비나 쓰기방지장치를 동반한 포렌식 소프트웨어를 통해 이미징 작업을 진행한다. 하지만 이런 장비의 경우 고가일 뿐만 아니라 현장에서 고장으로 인해 급하게 사용할 수 없는 경우를 배제할 수 없다. 또한 실험을 통해 확인한 결과 보안 USB 혹은 백신 USB의 경우 하드웨어 기반의 이미징 장비나 쓰기방지장치에서 인식을 할 수 없는 경우를 발견하였다. 따라서 본 논문에서는 현재의 이동식 저장매체에 맞는 디지털 증거 수집절차를 제안한다.

Keywords

References

  1. Lee, Sun-Ho and Im-Yeong Lee, "A study on security solution for USB flash drive," Journal of Korea Multimed ia Society, Vol.13, No.1, pp.93-101, 2010.
  2. "Computer Forensics Guideline," Telecommunications Technology, Association, 2007. 12. 26.
  3. Hye-Won Lee, Chang-Wook Park, Guen-Gi Lee, Kwon-YoupKim, and Sang-Jin Lee, "Secure USB Analysis in Forensic perspective," The Korea Society of Broadcast Engineers Conference, pp.63-65, 2008.
  4. "Removable Storage Device Security Manage ment Guidelines," National Intelligence Service, 2007.
  5. Sung-Min Jang, Jung-Heum Park, Chan-Ung Pak, and Sang-Jin Lee, "The Research for Digital Evidence Acquisition Procedure within a Full Disk Encryption Environment," Journal of The Korea Institute of Information Security & Cryptology, Vol.25, No.1, 2015.
  6. Keun-Gi Lee, Hye-Won Lee, Chang-Wook Park, Je-Wan Bang, Kwon-youp Kim, and Sangjin Lee, "USBPassOn: Secure USB Thumb Drive Forensic Toolkit," 2008 Second International Conference on Future Generation Communication and Networking, Vol.2, IEEE 2008.
  7. C. Hargreaves and H. Chivers, "Recovery of Encryption Keys from Memory Using a Linear Scan," The Third International Conference on Availability Reliability and Security, pp. 1369-1376, Mar., 2008.
  8. Minho Kim, Hyunuk Hwang, Kibom Kim, Taejoo Chang, Minsu Kim, and Bongnam Noh, "Vulnerability Analysis Method of Software-based Secure USB," Journal of The Korea Institute of Information Security & Cryptology, Vol.22, No.6, pp.1345-1354, 2012.
  9. "Rules relating to the collection and processing of digital evidence," National Police Agency, Directive, No.766, 2015.05.22.
  10. "Study on the procedures and facilities for maintaining the integrity of digital evidence," Supreme Prosecutor's Office, 2006. 06.
  11. "Digital Forensics: How to configure Windows Investigative Workstations," SANS Digital Forensics and Incident Response Blog, 2010. 12.
  12. SecuDrive [Internet], http://www.secudrive.co.kr/.
  13. SaferZone [Internet], http://www.saferzone.com/saferzone/sub01_02_ 01.asp.
  14. TurboVaccine [Internet], http://www.turbovaccine.com/sub/usb_otg2.asp.