DOI QR코드

DOI QR Code

A Study on Image Acquisition and Usage Trace Analysis of Stick-PC

Stick-PC의 이미지 수집 및 사용흔적 분석에 대한 연구

  • 이한형 (고려대학교 정보보호대학원 정보보호학과) ;
  • 방승규 (고려대학교 정보보호대학원 정보보호학과) ;
  • 백현우 (고려대학교 정보보호대학원 정보보호학과) ;
  • 정두원 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2017.03.31
  • Accepted : 2017.04.12
  • Published : 2017.07.31

Abstract

Stick-PC is small and portable, So it can be used like a desktop if you connect it to a display device such as a monitor or TV anytime and anywhere. Accordingly, Stick-PC can related to various crimes, and various evidence may remain. Stick-PC uses the same Windows version of the operating system as the regular Desktop, the artifacts to be analyzed are the same. However, unlike the Desktop, it can be used as a meaningful information for forensic investigation if it is possible to identify the actual user and trace the usage by finding the traces of peripheral devices before analyzing the system due to the mobility. In this paper, We presents a method of collecting images using Bootable OS, which is one of the image collection methods of Stick-PC. In addition, we show how to analyze the trace of peripheral connection and network connection trace such as Display, Bluetooth through the registry and event log, and suggest the application method from the forensic point of view through experimental scenario.

스틱-PC(Stick-PC)는 크기가 작고 휴대가 용이하여 언제 어디서든 모니터나 TV 등의 디스플레이 장치에 연결하면 데스크탑 PC(Desktop PC)처럼 사용이 가능하다. 이에 따라 스틱-PC(Stick-PC)도 일반 PC처럼 각종 범죄로 연결될 수 있으며 다양한 증거들이 남아 있을 수 있다. 스틱-PC(Stick-PC)는 일반 데스크탑 PC(Desktop PC)와 같은 윈도우즈(Windows) 버전의 운영체제를 사용하고 있어 분석해야 할 아티팩트들은 동일하다. 하지만 데스크탑 PC(Desktop PC)와 달리 이동성이 있어 시스템 분석 전에 주변 기기 연결 흔적을 찾아 실사용자 확인 및 사용 흔적을 파악하는 것이 이루어지면 포렌식 조사 시 상당히 의미 있는 정보로 사용될 수 있다. 따라서 본 논문은 스틱-PC(Stick-PC)의 이미지 수집 방법 중 하나인 Bootable OS를 이용하여 이미지를 수집하는 방법을 제시한다. 또한 레지스트리와 이벤트로 그를 통해 디스플레이, 블루투스(Bluetooth) 등의 주변기기 연결 흔적과 네트워크 연결 흔적을 분석하는 방법을 제시하고 실험 시나리오를 통해 포렌식 관점에서 활용 방안을 제시한다.

Keywords

References

  1. Intel [internet], http://www.intel.co.kr/content/www/kr/ko/compute-stick/intel-compute-stick.html.
  2. Yonghak Shin, Junyoung Cheon and Jongsung Kim, "Study on Recovery Techniques for the Deleted or Damaged Event Log (EVTX) Files," Journal of the Korea Institute of Information Security & Cryptology, Vol.26, No.2, pp.387-396, 2016. https://doi.org/10.13089/JKIISC.2016.26.2.387
  3. Sang Jin Oh and Kyu Ho kim, "A Study on The Procedure Analysis Vulnerability for Security Incidents using The Registry Parsing," Conference Workshop of The Institute of Electronics Engineers of Korea, pp.287-290, 2016.
  4. Harlan Carvey, "The Windows Registry as a forensic resource," Digital Investigation, Vol.2, Issue 3, pp.201-205, 2005. https://doi.org/10.1016/j.diin.2005.07.003
  5. Forensic Toolkit (FTK) [internet], http://accessdata.com/solutions/digital-forensics/forensic-toolkit-ftk.
  6. EnCase Forensic [internet], https://www.guidancesoftware.com/encase-forensic?cmpid=nav_r.
  7. Ubuntu(Linux OS) [internet], https://www.ubuntu.com/download.
  8. kali-km_Security Study [Internet], kali-km.tistory.com/entry/Windows-Event-Log-2---주요-이벤트-로그.