• International Journal of Internet, Broadcasting and Communication
• /
• 제13권3호
• /
• pp.178-192
• /
• 2021

File system forensics typically focus on the contents or timestamps of a file, and it is common to work around file/directory centers. But to recover a deleted file on the disk or use a carving technique to find and connect partial missing content, the evidence must be analyzed using cluster-centered analysis. Forensics tools such as EnCase, TSK, and X-ways, provide a basic ability to get information about disk clusters, but these are not the core functions of the tools. Alternatively, Sysinternals' DiskView tool provides a more intuitive visualization function, which makes it easier to obtain information around disk clusters. In addition, most current tools are for Windows. There are very few forensic analysis tools for MacOS, and furthermore, cluster analysis tools are very rare. In this paper, we developed a tool named FACT (Forensic Analyzer based Cluster Information Tool) for analyzing the state of clusters in a HFS+ file system, for digital forensics. The FACT consists of three features, a Cluster based analysis, B-tree based analysis, and Directory based analysis. The Cluster based analysis is the main feature, and was basically developed for cluster analysis. The FACT tool's cluster visualization feature plays a central role. The FACT tool was programmed in two programming languages, C/C++ and Python. The core part for analyzing the HFS+ filesystem was programmed in C/C++ and the visualization part is implemented using the Python Tkinter library. The features in this study will evolve into key forensics tools for use in MacOS, and by providing additional GUI capabilities can be very important for cluster-centric forensics analysis.

• 한국인터넷방송통신학회논문지
• /
• 제19권6호
• /
• pp.15-20
• /
• 2019

초반의 디지털 수사가 형성될 무렵, 디스크 이미징과 같은 디지털 포렌식 수사의 기초적인 과정이 개발되었다. 디지털 포렌식 수사의 과정과 절차가 점점 발달함에 따라, 수사의 데이터 처리 및 분석 단계를 도와주는 기본적인 툴들은 초반과 동일하게 유지되었다. 본 연구는 현대 디지털 포렌식 이미징 소프트웨어 툴에 대한 연구이다. 그 중에서도, 기본적인 툴 개발 패턴을 이해하기 위해 현대 디지털 포렌식 이미징 툴의 특징과 개발 및 출시 주기와 개발 패턴에 집중하였다. 해당 설문 조사를 바탕으로 현재의 디지털 수사의 기본 소프트웨어 개발 및 유지 보수의 취약점을 보여준다. 또한 기본 툴들을 개선할 수 있는 방안을 제시한다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.31-40
• /
• 2008

최근 들어 단순히 시스템에 남아있는 단서들을 분석하는 디스크 포렌식에서 공격자의 추적을 위해 시스템이 포함하는 네트워크의 침입 관련 정보를 분석하여 네트워크 포렌식의 연구가 활발해지고 있다. Firewall이나 IDS, 웹서버 로그의 상호 관계와 분석은 네트워크 포렌식 절차에서 중요한 역할을 한다. 이 연구는 네트워크 포랜식에서 개인정보 노출 감시를 위한 통합 GUI를 제시한다. 본 논문에서는 네트워크 포렌식을 위한 다양한 로그 정보들의 필요성을 제시하고 개인정보 누출을 모니터하는 보안 관리자를 위한 GUI를 설계한다.

• 융합보안논문지
• /
• 제8권4호
• /
• pp.65-71
• /
• 2008

대용량 하드디스크의 등장으로 많은 자료를 컴퓨터의 하드디스크에 저장할 수 있게 되었다. 하드디스크의 용량이 커지면서 저장되어 있는 파일 및 디렉토리가 증가하여 디지털 포렌식 분야에서도 탐색해야 하는 정보가 증가하게 되었다. 대용량 하드디스크에서 증거로 활용될 수 있는 파일 정보를 탐색하기 위해서는 윈도우 시스템에서 제공해주는 파일관리 함수군을 주로 이용한다. 하지만, 이 방법은 파일과 디렉토리의 수가 많을 경우 처리속도가 느리며, 파일 정보를 읽을 경우 파일의 접근시간이 변경된다. 또한, 운영체제 또는 응용 프로그램에 의해 이미 사용중인 파일의 경우 접근이 불가능하다는 단점이 있다. 본 논문에서는 대용량 하드디스크에 저장되어 있는 파일 및 디렉토리를 빠르게 탐색하기 위한 방법으로 하드디스크의 물리적 섹터에 접근하여 NTFS의 MFT 정보를 획득하고, 획득된 MFT 정보를 기반으로 증거파일을 탐색하는 방법을 제시하고 구현하였다.

• 한국산업정보학회논문지
• /
• 제15권4호
• /
• pp.39-45
• /
• 2010

휴대용 저장장치의 기술 발달로 저장장치의 대용량화가 가속화 되고 많은 데이터들의 이동 및 보관이 편리해 졌다. 휴대용 저장장치로는 USB 저장장치가 보편화 되어 사용되고 있으며, 포렌식 측면에서 이러한 USB 저장장치의 사용흔적 확보는 휴대용 저장장치를 통한 중요데이터 유출에 관한 조사를 가능하게 한다. 부트영역에 남아있는 USB 저장장치의 사용흔적을 확보하게 된다면 데이터 유출 및 범죄 행위 입증에 관한 조사가 가능하게 된다. 본 논문에서는 Disk Signature의 분석을 통한 USB Key/Thumb drive, USB Drive Enclosure 사용여부의 확인과 구분방법을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권2호
• /
• pp.626-643
• /
• 2023

As mobile forensics has emerged as an essential technique, the demand for technology development, education and training is increasing, wherein images are used. Academic societies in South Korea and national institutions in the US and the UK are leading the Mobile Forensic Image development. However, compared with disks, images developed in a mobile environment are few cases and have less active research, causing a waste of time, money, and manpower. Mobile Forensic Images are also difficult to trust owing to insufficient verification processes. Additionally, in South Korea, there are legal issues involving the Telecommunications Business Act and the Act on the Protection and Use of Location Information. Therefore, in this study, we requested a review of a standard model for the development of Mobile Forensic Image from experts and designed an 11-step development model. The steps of the model are as follows: a. setting of design directions, b. scenario design, c. selection of analysis techniques, d. review of legal issues, e. creation of virtual information, f. configuring system settings, g. performing imaging as per scenarios, h. Developing a checklist, i. internal verification, j. external verification, and k. confirmation of validity. Finally, we identified the differences between the mobile and disk environments and discussed the institutional efforts of South Korea. This study will also provide a guideline for the development of professional quality verification and proficiency tests as well as technology and talent-nurturing tools. We propose a method that can be used as a guide to secure pan-national trust in forensic examiners and tools. We expect this study to strengthen the mobile forensics capabilities of forensic examiners and researchers. This research will be used for the verification and evaluation of individuals and institutions, contributing to national security, eventually.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.193-201
• /
• 2013

저작권자의 동의 없이 파일을 공유하는 행위는 불법이다. 그러나 BitTorrent를 통해 발생하는 불법 공유가 계속 증가하고 있다. 이러한 증가 추세에도 불구하고, 불법 공유자들을 처벌하기 위한 법적 근거와 수사 절차가 명확하지 않기 때문에 불법 공유자들을 처벌하기 어렵다. 또, 서버가 존재하지 않는 BitTorrent의 특성으로 인해 P2P를 통한 불법 공유에 대한 기존 수사절차의 적용 역시 어렵다. 본 논문에서는 BitTorrent를 이용하여 발생하는 불법 공유에 대한 형사상 수사 절차에 대해서 정립함으로서 수사절차에 적용 가능한 포렌식 프레임워크를 제시하고자 한다.

• 인터넷정보학회논문지
• /
• 제21권3호
• /
• pp.93-102
• /
• 2020

디지털 범죄 수사의 전 단계에 걸쳐 획득된 자료가 증거 능력으로 인정 받을 수 있기 위해서는 법적/기술적 요구사항을 만족하여야 한다. 본 논문에서는 파일 시스템에서 기본적으로 제공하는 정보에 의존하지 않고, 저장장치 디스크 내부의 비할당 영역을 블록 단위로 스캔/검사하여 파일을 자동 복구하여 디지털 포렌식 증거 자료로 확보하는 메커니즘을 제시하였고 이를 직접 SW로 구현하였다. 제시한 기법은 분석 대상 시스템의 RAW 디스크 데이터에 대해 운영체제에서 제공하는 파일 시스템 관련 정보를 참조하지 않으면서 디스크 내에 저장된 각종 파일의 저장 포맷/파일 구조에 관한 정보를 토대로 512 바이트 블록 단위로 검사/분석하는 파일 카빙 과정을 구현하였으며, 저장 장치 내에 삭제되거나 손상된 파일을 지능적으로 복원하는 Smart Carving 메커니즘을 제시하였다. 구현한 기법을 이용할 경우 디지털 포렌식 분석 과정에서 시스템 내부에 저장된 파일에 대한 위변조 여부를 지능적으로 판별할 수 있는 블록 기반 스마트 카빙 기능을 제공한다.

• 한국항행학회논문지
• /
• 제18권1호
• /
• pp.50-55
• /
• 2014

최근 다양한 유형의 증거 분석에서 디지털 증거 분석 기법의 도입이 가속화되고 있으며 중요도가 증가하고 있다. 하지만 개인용 디스크 용량이 커지면서 저장하는 파일의 용량의 수가 증가하면서 전체 데이터를 모두 분석하는 것은 시간과 노력이 많이 소요된다. 대부분의 디지털 증거는 항상 시간정보를 저장하고 있으며, 시간 정보는 디지털 증거 분석에서 가장 중요한 요소 중 하나이다. 하지만 시간 유형이 다양하여 단순히 저장된 시간을 기준으로 사건을 분석하면 잘못된 분석결과를 도출할 가능성이 크다. 따라서 본 논문에서는 다양한 디지털 증거의 시간 유형에 대하여 고찰하고, 하나의 시간 축을 기준으로 디지털 증거 분석을 수행할 수 있는 타임라인 분석 기법에 대하여 설명한다.

• 한국산업정보학회논문지
• /
• 제12권3호
• /
• pp.104-115
• /
• 2007

커널 백도어로부터 공격이 탐지되는 즉시 해킹 피해를 입은 시스템에서 증거 손실을 최소화하고 안전하고 신뢰할 수 있는 증거 보존, 그리고 신속하게 대응하도록 함으로써 시스템 피해를 최소할 수 있는 백업 및 분석시스템을 설계 구현한다. 본 논문에서는 삭제된 로그파일을 복원하고 복원된 파일과 하드디스크의 이미지를 분석하여 해커의 위치를 찾을 수 있다.