KIPS Transactions on Software and Data Engineering (정보처리학회논문지:소프트웨어 및 데이터공학)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Detecting Methods of the Database Block Size for Digital Forensics

디지털 포렌식을 위한 데이터베이스 블록 크기의 탐지 기법

  • 김선경 (한국방송통신대학교 정보과학과) ;
  • 박지수 (전주대학교 컴퓨터공학과) ;
  • 손진곤 (한국방송통신대학교 컴퓨터과학과)
  • Received : 2019.12.03
  • Accepted : 2020.01.20
  • Published : 2020.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

As the use of digital devices is becoming more commonplace, digital forensics techniques recover data to collect physical evidence during the investigation. Among them, the file forensics technique recovers deleted files, therefore, it can recover the database by recovering all files which compose the database itself. However, if the record is deleted from the database, the modified record contents will not be restored even if the file is recovered. For this reason, the database forensics technique is required to recover deleted records. Database forensics obtains metadata from database configuration files and recovers deleted records from data files. However, record recovery is difficult if database metadata such as block size cannot be obtained from the database. In this paper, we propose three methods for obtaining block size, which is database metadata. The first method uses the maximum size of free space in the block, and the second method uses the location where the block appears. The third method improves the second method to find the block size faster. The experimental results show that three methods can correctly find the block size of three DBMSes.

디지털 기기 사용이 일반화되면서 수사 과정에서 물적 증거 수집을 위해 디지털 포렌식 기법을 사용한다. 이 중 파일 포렌식 기법은 삭제된 파일을 복구하는 것으로, 여러 개의 파일로 구성된 데이터베이스가 삭제되어도 복구할 수 있다. 그러나 데이터베이스에서 레코드가 삭제된 경우는 파일 복구를 하여도 수정된 레코드 내용이 복원되지 않는다. 이에 삭제된 레코드를 복구하는 기법인 데이터베이스 포렌식이 필요하다. 데이터베이스 포렌식은 데이터베이스 설정 파일로부터 메타데이터를 획득하고, 데이터 파일에서 삭제된 레코드를 복구한다. 그러나 데이터베이스에서 블록 크기와 같은 데이터베이스 메타데이터를 획득하지 못하면 레코드 복구가 어렵다. 본 논문에서는 데이터베이스 메타데이터인 블록 크기를 탐지하기 위한 세 가지 방법을 제안한다. 첫 번째 기법은 블록에 존재하는 빈공간의 최대 크기를 이용하며, 두 번째 기법은 블록이 나타나는 위치를 이용한다. 세 번째 기법은 두 번째 기법보다 더 빠르게 블록 크기를 찾을 수 있도록 개선한다. 실험 결과는 세 가지 탐지 기법 모두 세 종류의 DBMS의 블록 크기를 정확하게 찾을 수 있음을 보인다.

Keywords

References

  1. Min Chen, Shiwen Mao, and Yunhao Liu, "Big Data: A Survey," Mobile Networks and Applications, Vol.19, No.2, pp.171-209, 2014. https://doi.org/10.1007/s11036-013-0489-0
  2. Supreme Proscutors' Office ROK, Scientific Investigation-Digital Investigation Support [Internet], https://www.spo.go.kr/site/spo/02/10206040000002018100812.jsp. [Accessed Oct. 24, 2018.
  3. James Wagner, Alexander Rasin, and Jonathan Grier, "Database Forensic Analysis Through Internal Structure Carving," Digital Investigation, Vol.14, pp.106-115, 2015.
  4. R. Chopade and V. K. Pachghare, "Ten Years of Critical Review on Database Forensics Research," Digital Investigation, Vol.29, pp.180-197, 2019. https://doi.org/10.1016/j.diin.2019.04.001
  5. M. A. M. Guimaraes, R. Austin, and H. Said, "Database Forensics," in Information Security Curriculum Development Conference, pp.62-65, 2010.
  6. James Wanger, Alexander Rasin, Karen Hear, Rebecca Jacob, and Jonathan Grier, "DB3F & DB-Toolkit: The Database Forensic File Format and the Database Forensic Toolkit," Digital Investigation, Vol.29, pp.42-50, 2019.
  7. Jong-Hyun Choi, DooWoo Jeong, and Sangjin Lee, "The method of recovery for deleted record in Oracle Database," Journal of The Korea Institue of Information Security & Cryptology, Vol.23, No.5, pp.947-955, 2013. https://doi.org/10.13089/JKIISC.2013.23.5.947
  8. Jeewon Jang, Doowon Jeoung, and Sang Jin Lee, "The Recovery Method for MySQL InnoDB Using Feature of IBD Structure," KIPS Tr. Comp. and Comm. Sys. Vol.6, No.2, pp.59-66, 2017. https://doi.org/10.3745/KTCCS.2017.6.2.59
  9. Jiho Shin, "Comparison of Remaining Data According to Deletion Events on Microsoft SQL Server," Journal of The KIIS&C, Vol.27, No.2, pp.223-232, 2017.
  10. Jung Sung Kyun, Jee Won Jan, Doo Won Jeong, and Sang Jin Lee, "A Study on the Improvement Method of Delete Record Recovery in MySQL InnoDB," KIPS Tr. Comp. and Comm. Sys., Vol.6, No.12, pp.487-496, 2017. https://doi.org/10.3745/KTCCS.2017.6.12.487
  11. A. Silberschatz, H. F. Korth, and S. Sudarshan, "Database System Concepts 6th Edition," New York: McGraw-Hill Education, pp.456-457, Jan. 2010.