• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.21 no.2
• /
• pp.71-82
• /
• 2011

Live data in physical memory can be acquired by live forensics but not by harddisk file-system analysis. Therefore, in case of forensic investigation, live forensics is widely used these days. But, existing live forensic methods, that use command line tools in live system, have many weaknesses; for instance, it is not easy to re-analyze and results can be modified by malicious code. For these reasons, in this paper we explain the Windows kernel architecture and how to analyze physical memory dump files to complement weaknesses of traditional live forensics. And then, we design and implement the Physical Memory Dump Explorer, and prove the effectiveness of our tool through test results.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2012.07a
• /
• pp.217-219
• /
• 2012

안드로이드 기기 보급률 증가에 따라 컴퓨터 포렌식 분야에서는 안드로이드 기기에 대한 증거수집 및 분석의 필요성이 강하게 제기되고 있지만, 아직까지 연구는 미진한 상태이다. 또한 컴퓨터 포렌식 도구들에 의지하여 증거를 수집하고 분석하는 실정이다. 하지만 개인의 모든 정보가 거의 들어 있다고 해도 과언이 아닌 스마트폰의 정보유출은 우리의 일상에서 쉽고 빈번하게 발생할 수 있는데, 포렌식 분석 툴을 이용하여 증거를 수집하거나 분석하기란 쉽지 않은 일이다. 본 논문에서는 포렌식 분석 툴을 이용하지 않고 개인의 정보 유출 유무를 판단하여 대응할 수 있는 방법을 제시한다.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.34 no.1
• /
• pp.103-114
• /
• 2024

In a situation where drone-related crimes continue to rise, research in drone forensics becomes crucial for preventing and responding to incidents involving drones. Conducting forensic analysis on flight record files stored internally is essential for investigating illegal activities. However, analyzing flight record files generated through the exclusive DUML protocol requires a deep understanding of the protocol's structure and characteristics. Additionally, a forensic analysis tool capable of handling cryptographic payloads and analyzing various drone models is imperative. Therefore, this study presents the methods and characteristics of flight record files generated by drones. It also explains the structure of the flight record file and the features of the DUML packet. Ultimately, we conduct forensic analysis based on the presented structure of the DUML packet and propose an extension forensic analysis system that operates more universally than existing tools, performing expanded syntactic analysis.

• Convergence Security Journal
• /
• v.16 no.7
• /
• pp.93-100
• /
• 2016

Important evidence or clue in general crime as well as crime relevant to computer has been discovered in digital devices including computer with advance of information technology and turning into a information-oriented society. A leakage of industrial technology and confidential business information is related to digital devices such as computer, smart phone, USB, etc. This paper deal with a current state and comparison analysis of digital forensic technology for developing way of forensic field, so we seek for method of preventing information leakage.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2017.04a
• /
• pp.336-339
• /
• 2017

스마트폰 서드 파티 애플리케이션에 대한 포렌식 분석은 최근 수 년 간 탐구되어야 할 새로운 영역으로 떠올랐다. 현재 스마트폰 시장은 그 규모를 측정하는 것이 무의미할 만큼 커졌으며 각 스마트폰 플랫폼의 앱(App)마켓에는 셀 수 없이 많은 서드 파티 애플리케이션이 존재한다. 모바일 포렌식 소프트웨어 도구들은 일반적으로 연락처, 문자메시지, 통화기록 등의 전형적인 데이터를 수집한다. 이러한 도구들은 서드 파티 애플리케이션이 기기 내부에 저장하는 정보들을 간과하기 쉽다. 여러 제조사 중, 애플사의 모바일 기기에 설치된 많은 서드 파티 애플리케이션은 수사에 도움이 되는 많은 정보와 관련있는 디지털 증거를 남긴다. 이런 잠재적 증거들은 기기 내부에 저장되기도 하며, 비교적 손쉬운 방법으로 법정에 제출 가능하다. 스마트폰으로 이루어지는 많은 활동은 상당 부분 서드 파티 애플리케이션으로 이루어지며, 사이버 범죄 사건의 중심에 스마트폰이 있다면 서드 파티 애플리케이션 분석을 통한 핵심 증거 획득이 사건을 해결할 가능성이 높아진다. 본 논문에서는 스마트폰에서 널리 쓰이고 있는 소셜네트워크 애플리케이션인 '인스타그램(Instagram)'에서 행해진 포렌식 분석에 초점을 맞추고, 기기는 전 세계 적으로 가장 사용자 점유율이 높은 스마트폰인 아이폰에서 이루어졌다.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2011.06a
• /
• pp.197-201
• /
• 2011

검찰과 경찰에서는 압수수색을 통해 조사를 수행하는데, 기업들은 압수수색 수사를 받기 전에 회계 DB 및 회계 관련 파일 삭제, 파손 및 은닉하는 등의 문제점을 발생시키고 있다. 2008년 삼성화재 비자금 조성 사건과, 2009년 교하 복합커뮤니티 센터의 입찰비리 사건 등 기업회계장부의 포렌식 기술적용방법 문제 등이 발생하고 있다. 본 논문에서는 포렌식 수사 도구인 EnCase, FinalData 등을 연구하고, 기업의 회계 서버에 대해 압수수색 준비와 압수 수색, 획득 증거 분석 등의 절차를 연구한다. 기업의 회계 서버 압수수색 후에 디스크에서 포렌식 증거분석에서 실시되는 증거물 원본 파일보관, 원본성이 입증된 사본생성, 삭제 파일 검사 및 복원, 삭제 내용 확인, 원본 파일과의 대조를 실험을 한다. 본 연구 결과는 포렌식 기술발전에 기여하게 될 것이다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2023.11a
• /
• pp.188-189
• /
• 2023

본 연구는 사용자가 USB에 내장된 스크립트를 실행하여 실시간으로 활성 및 비활성 데이터를 수집하는 라이브 포렌식 도구의 개발에 관한 것이다. 이 도구는 컴퓨터에 USB를 삽입하고 특정 스크립트를 실행하여 중요한 디지털 증거물을 추출하고 분석하는 기능을 제공한다. 도구는 Linux와 Windows 운영 체제용 32비트 및 64비트 버전으로 제작되었으며, 대량의 데이터 처리 시간과 저장 공간 문제를 해결하여 필요한 특정 데이터만 신속하게 추출할 수 있는 효율적인 방법을 제공한다. 이 도구는 활성 데이터와 비활성 데이터를 수집하며, 활성 데이터에는 레지스터, 네트워크 정보, 프로세스 정보, 사용자 정보 등이 포함되며, 비활성 데이터에는 메타데이터, 시스템 설정 정보, 로그 파일 등이 포함된다. 이 연구에서는 라이브 포렌식 도구의 사용 방법과 수집된 결과, 데이터 분석 방법, 그로 인한 보안 이점에 대해 다루고 있다.

• Convergence Security Journal
• /
• v.12 no.5
• /
• pp.79-85
• /
• 2012

This research is to improve the education courses for nurturing digital forensic exports. To do so, the education courses for nurturing digital forensic exports were proposed and surveys targeting forensic professionals are conducted. Using AHP method, the most rational and important education courses among aspects (forensic introduction, system forensic, theories and analyses by categories, tool using, and research work) were drawn from results from the above. From this research, it is to improve the education courses for nurturing digital forensic experts applying rational courses with high status.

• KIPS Transactions on Computer and Communication Systems
• /
• v.5 no.5
• /
• pp.117-126
• /
• 2016

Recently, increasing utilization of Big Data or Social Network Service involves the increases in demand for NoSQL Database that overcomes the limitations of existing relational database. A forensic examination of Relational Database has steadily researched in terms of Digital Forensics. In contrast, the forensic examination of NoSQL Database is rarely studied. In this paper, We introduce Redis (which is) based on Key-Value Store NoSQL Database, and research the collection and analysis of forensic artifacts then propose recovery method of deleted data. Also we developed a recovery tool, it will be verified our recovery algorithm.

• Journal of the Korea Institute of Information Security & Cryptology
• /
• v.34 no.2
• /
• pp.179-192
• /
• 2024

macOS presents challenges for memory data acquisition due to its proprietary system architecture, closed-source kernel, and security features such as System Integrity Protection (SIP), which are exclusive to Apple's product line. Consequently, conventional memory acquisition tools are often ineffective or require system rebooting. This paper analyzes the status and limitations of existing memory forensics research and tools related to macOS. We investigate methods for memory acquisition and analysis across various macOS versions. Our findings include the development of a practical memory acquisition and analysis process for digital forensic investigations utilizing OSXPmem and dd tools for memory acquisition without system rebooting, and Volatility 2, 3 for memory data analysis.