• Review of KIISC
• /
• v.13 no.4
• /
• pp.1-14
• /
• 2003

컴퓨터와 인터넷의 발전은 사용자에게 편리함을 가져다 주었으나, 컴퓨터 범죄라는 새로운 역기능을 낳게 되었다. 결국 이는 특정 목적을 가진 범죄자를 낳게 되고 정보화 사회의 발전을 저해하는 커다란 걸림돌로 작용하게 되었으며, 이에 대응하는 정보보호기술은 개인의 사생활 보호와 국가 경쟁력을 판단하는 척도로 자리잡게 되었고, 현대에는 정보보호 기술 자체가 국가간 정보전 형태를 뛰면서 그 중요성은 매우 커지고 있다. 이러한 정보보호 기술은 방화벽과 침입탐지 시스템의 꾸준한 개발로 이어졌으나, 아직 컴퓨터 범죄를 다루는 피해 시스템의 증거수집, 복구 및 분석을 하는 컴퓨터 포렌식 기술은 국내에서는 아직 활발히 연구되지는 않고 있다. 본 연구에서는 컴퓨터 포렌식스에서 시스템 포렌식스에 대한 개념과 절차, 국외 기술 동향과 개발된 도구들을 살펴보고, 유닉스/리눅스에서의 백업과 복구 그리고 분석의 관점에서 포렌식 기술에 대해 살펴본다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1149-1152
• /
• 2004

컴퓨터가 현대 생활의 필수 도구로 자리잡으면서 컴퓨터를 매개로 이루어지는 범죄행위에 대하여 법적인 처벌 문제가 중요하게 대두되고 있다. 컴퓨터범죄를 형사적으로 처벌하기 위하여는 디지털증거의 증거능력과 증명력이 인정되어야만 한다. 하지만 디지털증거는 그 특성상 조작, 손상, 멸실의 우려가 높다. 디지털증거가 형사소송법상 유효한 증거로서의 증거능력을 인정 받기 위하여는 데이터의 변형 없이 수집하고 때로는 손상된 디지털 증거를 복구하여 원본과 동일하게 복사하여 정확히 분석한 후 제출되어야 한다. 이와 관련된 학문 전반을 컴퓨터포렌식이라고 하는데 국내법 혹은 국제법적으로 유효한 절차 및 수단에 따라 관련 증거들을 수집하여 함은 물론이고 과학적인 논거들로 입증하는 것이 또한 매우 중요하다. 현재 국내법상 디지털증거에 관한 입법이 없으므로 일반적인 증거증력에 관한 규정과 일부 판례를 차용하여 증거능력과 증명력을 갖춘 컴퓨터포렌식 절차를 제안 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2011.11a
• /
• pp.842-845
• /
• 2011

현재의 스마트폰 기반의 모바일 애플리케이션은 기본적인 전화, 문자와 같은 기능들 외 네비게이션과 같은 유용하고 편리한 기능들이 사용되고 있다. 이러한 애플리케이션에는 사용자와 관련된 많은 개인 정보들이 포함되어있고, 저장된 개인 정보는 사건 발생 시 사건의 직접적인 증거 혹은 간접적은 증거로 활용될 수 있다. 스마트폰에 저장된 증거를 수집하고 분석할 때 조사관들이 사용할 수 있는 기존의 도구는 복잡한 사용방법을 숙지해야 하고, 인증된 소프트웨어가 설치되어 있는 컴퓨터에서 국한되어 분석이 가능했다. 본 논문에서는 이와 같은 문제를 해결하기 위한 웹 서비스 개념의 스마트폰 포렌식 프레임워크를 제시한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.6
• /
• pp.1397-1404
• /
• 2017

When a digital forensic investigation is conducted on a damaged storage medium, recovery is performed using a recovery tool. But the result of each recovery tool is different depending on the tools. Therefore, it is necessary to identify and use the performance and limitations of the tool for accurate investigation. In this paper, we propose a scenario considering the disk recognition type such as MBR, GPT and the structural characteristics of FAT32 and NTFS filesystem to verify the performance of the partition recovery tool. And then We validate the existing tools with the data set built on the scenarios.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.26 no.2
• /
• pp.387-396
• /
• 2016

As the number of people using digital devices has increased, the digital forensic, which aims at finding clues for crimes in digital data, has been developed and become more important especially in court. Together with the development of the digital forensic, the anti-forensic which aims at thwarting the digital forensic has also been developed. As an example, with anti-forensic technology the criminal would delete an digital evidence without which the investigator would be hard to find any clue for crimes. In such a case, recovery techniques on deleted or damaged information will be very important in the field of digital forensic. Until now, even though EVTX(event log)-based recovery techniques on deleted files have been presented, but there has been no study to retrieve event log data itself, In this paper, we propose some recovery algorithms on deleted or damaged event log file and show that our recovery algorithms have high success rate through experiments.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.29 no.6
• /
• pp.1351-1364
• /
• 2019

When SCADA is exposed to cyber threats and attacks, serious disasters can occur throughout society. This is because various security threats have not been considered when building SCADA. The bigger problem is that it is difficult to patch vulnerabilities quickly because of its availability. Digital forensics procedures and techniques need to be used to analyze and investigate vulnerabilities in SCADA systems in order to respond quickly against cyber threats and to prevent incidents. This paper addresses SCADA forensics taxonomy and research trends for effective digital forensics investigation on SCADA system. As a result, we have not been able to find any research that goes far beyond traditional digital forensics on procedures and methodologies. But it is meaningful to develop an approach methodology using the characteristics of the SCADA system, or an exclusive tool for SCADA. Analysis techniques mainly focused on PLC and SCADA network protocol. It is because the cyber threats and attacks targeting SCADA are mostly related to PLC or network protocol. Such research seems to continue in the future. Unfortunately, there is lack of discussion about the 'Evidence Capability' such as the preservation or integrity of the evidence extracting from SCADA system in the past researches.

• 정보보호뉴스
• /
• s.138
• /
• pp.54-57
• /
• 2009

컴퓨터 포렌식은 사고와 관련된 시스템을 조사해 범죄에 이용된 증거를 수집해 입증하는 분야이다. 국내에서는 아직 증거수집에 대한 프로세스가 공개되지 않고 있는데, 그 이유는 일반기업에서 해당 업무를 수행할 권한이 없기 때문이다. 이에 반해 해외의 경우, 해당 프로세스에 대한 'Rfc3227(http://www.ietf.org/rfc/rfc3227.txt)' 지침이 마련돼 있으며, 이것은 IETF(The Internet Engineering Task Force)의 BCP(Best Current Practice)로 등록돼 있는 표준화 절차다. 이는 증거수집 및 보관이라는 업무가 반드시 사법적인 권한을 가지고 수행해야 하는 업무가 아니라, 사고가 발생한 시스템에 대한 원인을 파악하고 재발 방지를 위한 목적을 가지고 있기 때문이다. 위와 같은 목적으로 국내에서는 딱딱한 컴퓨터 포렌식이 아닌 현업에게 활용 가능한 컴퓨터 포렌식에 대해 정리해 보고자 한다.

• Review of KIISC
• /
• v.18 no.1
• /
• pp.70-77
• /
• 2008

디지털 포렌식에서 증거 데이터 분석의 효율성을 높이기 위해서는 잘 알려진 파일을 분석 대상에서 제외하거나, 특정 파일의 존재여부에 대한 검사가 필요하다. 이를 위하여, 시스템 파일, 폰트 파일, 응용 프로그램 파일 등 분석이 필요없는 파일 및 루트킷, 백도어, 익스플로잇 코드 등 악성 파일에 대한 해쉬 값을 미래 계산하여 저장해 둔 것을 소프트웨어 참조 데이터세트라고 한다. 이 논문에서는 소프트웨어 참조 데이터세트 구축에 대한 주요 동향에 대하여 살펴본다. 특히, 소프트웨어 참조 데이터세트 구축을 주도하고 있는 미국의 NSRL RDS에 대하여 활용가능성 측면에서 구체적으로 살펴본다. NSRL RDS에 대한 분석결과 실제 컴퓨터 포렌식 도구에서 활용하기 매우 어렵다는 사실을 알 수 있다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.27 no.6
• /
• pp.1373-1383
• /
• 2017

Deduplication is a function to effectively manage data and improve the efficiency of storage space. When the deduplication is applied to the system, it makes it possible to efficiently use the storage space by dividing the stored file into chunks and storing only unique chunk. However, the commercial digital forensic tool do not support the file system analysis, and the original file extracted by the tool can not be executed or opened. Therefore, in this paper, we analyze the process of generating chunks of data for a Windows Server 2012 system that can apply deduplication, and the structure of the resulting file(Chunk Storage). We also analyzed the case where chunks that are not covered in the previous study are compressed. Based on these results, we propose the method to collect deduplicated data and reconstruct the original file for digital forensic investigation.

• KIPS Transactions on Computer and Communication Systems
• /
• v.6 no.12
• /
• pp.487-496
• /
• 2017

In MySQL InnoDB, there are two ways of storing data. One is to create a separate tablespace for each table and store it separately. Another is to store all table and index information in a single system tablespace. You can use this information to recover deleted data from the record. However, in most of the current database forensic studies, the former is actively researched and its structure is analyzed, whereas the latter is not enough to be used for forensics. Both approaches must be analyzed in terms of database forensics because their storage structures are different from each other. In this paper, we propose a method for recovering deleted records in a method of storing records in IBDATA file, which is a single system tablespace. First, we analyze the IBDATA file to reveal its structure. And introduce delete record recovery algorithm which extended to an unallocated page area which was not considered in the past. In addition, we show that the recovery rate is improved up to 68% compared with the existing method through verification using real data by implementing the algorithm as a tool.