• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권1호
• /
• pp.25-30
• /
• 2017

안티 포렌식 기법 중 하나인 데이터 삭제 기법은 그 행위의 단순함에 비해 포렌식 분석 관점에서의 그 영향력은 상당하다. 학계에서는 데이터 삭제 기법에 대응하여 지속적으로 삭제된 파일 복구 기법에 대해 연구하였으며, 대표적으로 파일시스템 기반 파일 복구 기법과 파일 포맷 기반 복구 기법이 존재한다. 파일이 삭제되고 난 후 해당 파일의 메타데이터가 파일시스템 상에 존재한다면, 이를 이용하여 손쉽게 파일을 복구할 수 있으나, 메타데이터가 존재하지 않는 경우엔 시그니처 기반 카빙 기법을 이용하여 파일을 복구하거나 파일 포맷에 기반한 복구기법을 적용해야 한다. 이때 파일 포맷에 기반한 복구기법은 파일 구조에 대한 분석과 복구 가능한 기법이 제시되어야 한다. 본 논문은 PDF 파일의 구조적 특성에 기반한 삭제된 PDF 파일의 페이지 단위 복구 기법을 제시한다. 해당 기법은 PDF 파일의 1개 페이지를 구성하는 Page Object의 태그 값을 이용한다. 각 태그 값을 일종의 시그니쳐로서 활용하여 Object를 추출하며, 추출된 Object들을 분석하여 PDF파일의 메타데이터를 재조합한 후 페이지 단위로 재구성한다. 페이지 단위로 복구한다는 것은 삭제된 PDF 파일이 온전하지 않더라도 PDF 파일을 구성했던 일부 페이지라도 복구할 수 있음을 의미한다. 해당 기법을 이용하면 온전하지 않은 상태의 PDF파일에 대한 복구가 가능하다. 이는 디지털 포렌식 분석 관점에서 기존보다 더 많은 데이터를 복구하는데 활용될 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.637-639
• /
• 2004

인터넷의 확산으로 인한 바이러스의 감염, 정전 등의 재해로 인해 파일 시스템이 손상될 수 있기 때문에 이를 복구하기 위한 기법들에 대한 다양한 연구가 이루어지고 있다. 그러나 기존 연구들은 파일 시스템이 정상적으로 동작하는 환경에서 수행 도중의 오류를 복구하기 위한 로그 기법들이 주로 사용되고 있다. 이러한 기법들은 파일 시스템의 기본구조가 손상될 경우 해당 디스크에 접근이 불가능하기 때문에 한계점이 존재한다 따라서 본 논문에서는 파일 시스템 기본 구조 복구 모델을 제안한다. 또한 실수로 파일을 완전히 삭제할 경우 운영체제가 제공하는 정상적인 방법으로는 삭제된 파일에 접근 할 수 없다. 따라서 완전히 삭제된 파일을 복구할 수 있는 방안을 제시하고 이를 구현하였다.

• 정보보호학회지
• /
• 제32권3호
• /
• pp.5-10
• /
• 2022

랜섬웨어는 시스템을 잠그거나 데이터를 암호화해서 사용할 수 없도록 한 뒤 피해자에게 대가로 금전을 요구하는 악성 프로그램이다. 랜섬웨어는 암호학적으로 안전하다고 알려진 암호 알고리즘들을 이용하여 파일을 암호화 하기 때문에 암호 알고리즘 분석만으로는 감염된 파일을 복구할 수 없다. 따라서, 감염된 파일의 복구를 위해서는 암호 알고리즘 안전성 측면이 아닌 별도의 방법을 마련할 필요가 있다. 랜섬웨어는 파일 암호화 키를 이용하여 대상 파일들을 암호화하기 때문에 이를 복구할 수 있다면, 감염된 파일 복구가 가능하다. 하지만, 랜섬웨어들은 각각 다른 방법으로 파일 암호화키를 관리하기 때문에 일반적인 파일 암호화키 관리 방법을 미리 숙지하지 못한다면 파일 암호화키 복구를 위한 역공 학분석 시 비효율이 발생할 수 있다. 본 논문에서는 랜섬웨어가 파일 암호화키를 암호화하는 방식에 따라 세 가지로 분류하여 설명한다. 또한, 향후 랜섬웨어 분석가가 효율적인 분석을 할 수 있도록 각 관리 방법에 따라 파일 암호화키 복구를 위한 분석 대상을 식별하였다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.463-470
• /
• 2016

최근 MAC 시스템의 점유율 증가로 MAC 기반 디지털 포렌식 기술의 필요성이 증대되고 있다. 디지털 포렌식 분석 과정에서 시스템 사용자가 의도적으로 증거를 삭제한 경우, 시스템에서 삭제된 파일을 복구하여 혐의를 입증하기도 한다. 이를 위해 파일시스템으로부터 삭제된 파일을 복구하기 위한 연구가 꾸준히 이루어져 왔으며, MAC 기반 파일시스템인 HFS+ 또한 이에 대한 연구가 수행되어왔다. HFS+의 운영 및 구조적 특성상 파일이 삭제되면 해당 파일의 메타데이터가 다른 파일 또는 폴더의 메타데이터에 의해 삭제되기 때문에 주로 시그니처를 활용한 카빙 기법이 사용되어왔다. 하지만 File Content가 파일시스템 상에 분할되어 저장되는 경우, 카빙 기법 또한 파일의 일부분만을 복구하거나 파일 전체를 복구할 수 없었다. 본 논문에서는 HFS+ 저널을 이용한 삭제된 파일의 복구 기법에 대해 소개한다. 이는 기존 연구를 통해 제안된 기법으로 HFS+ 저널에 남아있는 메타데이터를 이용하여 삭제된 파일을 복구하는 기법이다. 하지만 해당 기법은 특정 파일이 복구 대상에서 배제되기 때문에 이에 대한 개선의 여지가 남아있다. 본 연구에서는 HFS+ 저널을 상세히 분석할 수 있는 알고리즘을 제시한다. 또한 해당 알고리즘을 기반으로 추출한 메타데이터를 통해 복구 대상에서 배제되는 파일 없이 삭제된 파일을 복구할 수 있음을 실험을 통해 입증한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2003년도 봄 학술발표논문집 Vol.30 No.1 (A)
• /
• pp.413-415
• /
• 2003

일반 사용자는 침입이 있더라도 항상 신뢰성 있는 정보를 획득하길 원하기 때문에 침입에 의하여 파일이 훼손되는 경우에도 사용자에게 투명한 방법으로 복구할 수 있는 방법이 필요하다. 본 논문에서는 리눅스 기반의 파일 시스템에서 변경이 일어날 때마다 로그 형태로 저장한 중복 파일을 이용하여 침입에 의하여 훼손된 부분을 복구하기 위한 기법을 제안한다. 실제 파일 변경이 일어날 때에는 그 변경이 악의적인지 합법적인지 판단이 불가능하다는 점에서 변경이 일어날 때마다 로그 형태로 변경정보를 유지하고 복구가 필요할 경우 선택적으로 적용할 수 있도록 하였다. 또한 로그 크기의 계속적인 증가에 효과적으로 대처하기 위한 로그 컴팩션(compaction) 방법도 보인다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2017년도 추계학술발표대회
• /
• pp.349-352
• /
• 2017

파일시스템 포렌식으로 삭제된 파일을 복구할 수 있지만 데이터베이스에서 이용한 데이터 파일의 경우 레코드는 복구할 수 없다. 따라서 데이터베이스 포렌식이 연구되고 있다. 데이터베이스 포렌식은 각 데이터베이스 고유 저장 특성을 이용하여 데이터파일에서 삭제된 레코드를 추출하는 기법이다. 그러나 칼럼 정보를 얻지 못할 경우 기존 데이터베이스 포렌식으로는 레코드 복구가 불가능하다. 데이터 파일의 구성단위인 페이지를 읽어 칼럼구조를 유추하면 레코드를 복원할 가능성이 있다. 본 논문은 칼럼 정보 없이 데이터 파일에 레코드가 저장된 형태를 분석하여 삭제된 레코드를 포함한 파일에 잔존하는 레코드를 복구를 위한 분석과 실험을 하였다.

• 한국정보과학회논문지:데이타베이스
• /
• 제37권6호
• /
• pp.292-299
• /
• 2010

최근 플래시 메모리가 디지털 기기의 저장장치로 널리 사용됨에 따라 플래시 메모리에서 디지털 증거를 분석하기 위한 디지털 포렌식의 필요성이 증가하고 있다. 이를 위해 플래시 메모리에 저장되어 있는 파일을 효율적으로 복구하는 것이 매우 중요하다. 그러나 기존의 하드 디스크 기반 파일 복구 기법을 플래시 메모리에 그대로 적용하기에는 너무나 비효율적이다. 덮어쓰기 불가능과 같이 플래시 메모리는 하드 디스크와 전혀 다른 특성을 가지기 때문이다. 본 논문에서 디지털 포렌식을 지원하기 위한 플래시 메모리를 잘 이해하는 파일 복구 기법을 제안한다. 첫째, 플래시 메모리 저장장치로부터 복구 가능한 모든 파일들을 효과적으로 검색하는 방법을 제안한다. 이것은 플래시 메모리의 쓰기 연산을 담당하는 FTL(Flash Translation Layer)의 메타데이터를 최대한 활용한다. 둘째, 복구 대상 파일들 중에서 특정 파일을 효율적으로 복구할 수 있는 기법을 제안하며, 이를 위해 FTL의 사상 테이블의 위치 정보를 이용한다. 다양한 실험을 통해 본 논문에 제안하는 기법이 기존의 하드 디스크 기반 파일 복구 기법보다 우수함을 보인다.

• 정보보호학회논문지
• /
• 제24권5호
• /
• pp.885-896
• /
• 2014

일반적으로 사용하는 컴퓨터의 저장소는 예상치 못한 오류나 사고로 인해 파일이 삭제되는 일이 발생할 수 있다. 또한 악의적인 목적을 가진 누군가가 안티 포렌식을 목적으로 직접 데이터를 삭제하기도 한다. 이렇게 삭제된 파일이 범죄와 연관된 증거이거나 업무상 중요한 문서인 경우 복구를 위한 대책이 있어야 한다. NTFS, FAT, EXT와 같은 파일 시스템은 삭제된 파일을 복구하기 위한 기법이 활발히 연구되었고 많은 도구가 개발 되었다. 그러나 최근 NAS 및 CCTV 저장소에 적용된 XFS 파일 시스템을 대상으로는 삭제된 파일을 복구하기 위해 제안된 연구개발 결과가 거의 없으며 현재까지 개발된 도구들은 전통적인 시그니처 탐지 기반 카빙 기법에 의지하고 있어서 복구 성공률이 저조한 상황이기 때문에 이에 대한 연구가 필요하다. 따라서, 본 논문에서는 XFS 파일 시스템에서의 삭제된 파일을 복구하기 위해 메타데이터 기반 복구 방법과 시그니처 탐지 기반 복구 방법을 제안하며 실제 환경에서 실험하여 검증하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 봄 학술발표논문집 Vol.31 No.1 (A)
• /
• pp.244-246
• /
• 2004

사용자는 침입이 있더라도 항상 신뢰성 있는 정보를 획득하길 원하기 때문에 침입에 의하여 파일이 훼손되는 경우에도 사용자에게 투명한 방법으로 복구할 수 있는 방법이 필요하다. 본 논문에서는 리눅스 기반의 파일 시스템에서 변경이 일어날 때마다 로그 형태로 저장된 로그 파일을 이용하여 침입에 의하여 훼손된 부분을 복구하기 위한 모듈을 구현하고, 시험을 통하여 로그 기반 침입 복구 모듈을 적재한 시스템에서 로그를 관리하기 위해 발생하는 오버헤드를 분석한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 가을 학술발표논문집 Vol.28 No.2 (1)
• /
• pp.724-726
• /
• 2001

본 논문에서는 컴퓨터 바이러스의 자기 복제 특성을 용한 바이러스 탐지 및 복구 방안을 제안한다. 바이러스의 행동 패턴은 바이러스의 종류 만큼 다양하지만 파일 바이러스의 경우, 자기 복제 행동 패턴은 대부분의 바이러스가 유사하다. 파일 바이러스가 시스템 감염시키기 위해서는 기생할 실행파일을 열고, 자기 자신을 그 실행 파일에 복사해야 한다. 이와 같은 자기 복제 행위를 통해 바이러스가 광범위하게 선과될 때 피 피해도 커지게 된다. 바이러스치 자기 복제 특성을 감안하여 본 연구에서 제안하는 바이러스 탐지 알고리즘은 다음과 같은 득징을 가진다. 첫째, 바이러스의 자기복세 행동 패턴은 파일 입출력 이벤트로 표현하여 바이러스의 행동 패턴으로 일반화시켰다. 둘째, 바이러스의 1차 감염행위는 허용하고 2차 이후 감염 행위부터 탐지하고, 탐지되기 이전에 감염되었던, 파일들을 복구한다. 이는 일반적인 바이러스들이 자기 복제를 지속적으로 수행한다는 점에 착안하여 false-positive 오류를 줄이기 위한 것이다. 본 고에서 제안하는 방법을 사용함으로써 특정 문자열에 의한 바이러스 탐지 및 복구 방법의 단점을 보안할 수 있을 것으로 기대된다.