• 인터넷정보학회논문지
• /
• 제23권2호
• /
• pp.61-70
• /
• 2022

스마트폰 앱을 사용하는 일반 사용자들은 개인이 소유하고 있는 사진, 동영상 등 개인정보를 보호하기 위해 Vault 앱을 많이 사용하고 있다. 그러나 범죄자들은 불법 영상들을 은닉하기 위해 Vault 앱 기능을 안티포렌식 용도로 악용하는 사례가 증가하고 있다. 이러한 앱들은 구글 플레이에 정상적으로 등록된 매우 많은 앱들 중 하나이다. 본 연구는 범죄자들이 이용하고 있는 Vault 앱들을 탐색하기 위해 XML 기반의 핵심어 빈도 분석을 통해 특징점을 추출하는 방법론을 제안하며, 특징점 추출을 위해서는 텍스트마이닝 기법을 적용한다. 본 연구에서는 은닉형 Vault 안티포렌식 앱과 비은닉형 Vault 앱 각각 15개를 대상으로 앱에 포함된 strings.xml 파일을 활용하여 XML 구문을 비교 분석하였다. 은닉형 Vault 안티포렌식 앱에서는 불용어처리를 1차, 2차 거듭할수록 더 많은 은닉 관련 단어가 높은 빈도로 발견된다. 본 연구는 공학 기술적인 관점에서 APK 파일을 정적 분석하는 대부분의 기존 방식과는 다르게 인문사회학적인 관점에서 접근하여 안티포렌식 앱을 분류해내는 특징점을 찾아내었다는 것에 의의가 있다. 결론적으로 XML 구문 분석을 통해 텍스트마이닝 기법을 적용하면 은닉형 Vault 안티포렌식 앱을 탐색하기 위한 기초 자료로 활용할 수 있다.

• 한국전자통신학회논문지
• /
• 제10권1호
• /
• pp.95-102
• /
• 2015

스마트폰은 실생활에 매우 유용하게 사용되면서도, 스마트폰을 이용한 범죄에 많이 노출되고 있다. 또한 앤티-포렌식 도구들을 사용하여 스마트폰 메모리의 데이터를 고의로 삭제하는 경우도 발생하고 있다. 본 논문에서는 안드로이드 스마트폰 상에서 사용되는 앤티-포렌식 도구를 구현하고, 상용 포렌식 툴인 Oxygen Forensic Suite를 사용하여 구현한 앤티-포렌식 도구가 제공하는 기능들의 활용성을 검증하는 시험을 한다.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2021년도 춘계학술대회
• /
• pp.111-113
• /
• 2021

이동식 저장매체로 대표되는 USB 저장장치는 클라우드 서비스가 일상화된 요즘에도 널리 사용되고 있다. 하지만 USB 저장장치에 은닉영역을 생성하여 악용하는 경우가 있기 때문에 안티 포렌식 관점에서도 이를 탐지하고 분석하는 연구가 필요하다. 본 논문에서는 은닉 파티션을 생성하고 이곳에 파일을 저장할 수 있어 안티 포렌식으로 악용 될 수 있는 프로그램과 이것으로 만들어진 파일 시스템을 디지털 포렌식 관점에서 분석한다.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.135-144
• /
• 2014

디지털 포렌식 조사를 회피하기 위한 안티포렌식이 발전하고 있는 가운데, 안티포렌식 행위를 찾아내기 위한 포렌식 방법들 또한 다각도로 연구되고 있다. 사용자 행위분석을 위한 여러 요소 중 응용프로그램의 아이콘 정보를 저장하고 있는 IconCache.db 파일은 디지털 포렌식 조사를 위한 의미 있는 정보들을 제공하고 있다. 본 논문은 IconCache.db 파일의 특성을 알아보고 안티포렌식에 대응할 수 있는 활용방안을 제시한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권3호
• /
• pp.31-40
• /
• 2016

In this paper, we propose a new anti-forensic method for hiding data in the timestamp of a file in the Windows NTFS filesystem. The main idea of the proposed method is to utilize the 16 least significant bits of the 64 bits in the timestamps. The 64-bit timestamp format represents a number of 100-nanosecond intervals, which are small enough to appear in less than a second, and are not commonly displayed with full precision in the Windows Explorer window or the file browsers of forensic tools. This allows them to be manipulated for other purposes. Every file has $STANDARD_INFORMATION and $FILE_NAME attributes, and each attribute has four timestamps respectively, so we can use 16 bytes to hide data. Without any changes in an original timestamp of "year-month-day hour:min:sec" format, we intentionally put manipulated data into the 16 least significant bits, making the existence of the hidden data in the timestamps difficult to uncover or detect. We demonstrated the applicability and feasibility of the proposed method with a test case.

• International Journal of Internet, Broadcasting and Communication
• /
• 제9권3호
• /
• pp.17-26
• /
• 2017

An anti-forensic data hiding method in an NTFS index record is a method designed for anti-forensics, which records data as a file name in index entries and thereafter the index entries are made to remain in the intentionally generated slack area in a 4KB-sized index record[7]. In this paper, we propose a maximum data allocation rule for an anti-forensic data hiding method in an NTFS index record; i.e., a computational method for storing optimal data to hide data in an index record of NTFS is developed and the optimal solution is obtained by applying the method. We confirm that the result of analyzing the case where the number of index entries n = 7 is the maximum case, and show the screen captures of index entries as experimental results.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2021년도 제64차 하계학술대회논문집 29권2호
• /
• pp.215-218
• /
• 2021

심캐시(Shimcache, AppCompatCache) 파일은 Windows 운영체제에서 응용 어플리케이션 간의 운영체제 버전 호환성 이슈를 관리하는 파일이다. 호환성 문제가 발생한 응용 어플리케이션에 대한 정보가 심캐시에 기록되며 프리패치 (Prefetch) 파일이나 레지스트리의 UserAssist 키 등과 같이 응용 어플리케이션의 실행 흔적을 기록한다는 점에서 포렌식적 관점에서 중요한 아티팩트이다. 본 논문에서는 심캐시의 구조를 분석하여 심캐시 파일을 통해 얻을 수 있는 응용 어플리케이션의 정보를 소개하고, 기존 툴 상용도구의 개선을 통해 완전 삭제 등 안티 포렌식 도구의 실행 흔적을 탐지하는 방법을 제시한다.

• 한국전자통신학회논문지
• /
• 제8권6호
• /
• pp.855-861
• /
• 2013

스마트폰은 컴퓨팅 능력 향상, 전송속도의 고속화, 다양한 애플리케이션의 활용 등을 통해 실생활에 매우 유익하게 사용되고 있다. 반면에 스마트폰을 이용한 범죄가 증가하고 있으며, 앤티-포렌식 도구들을 사용하여 스마트폰 메모리의 데이터를 고의로 삭제하는 경우도 발생하고 있다. 본 논문에서는 안드로이드 스마트폰 상에서 사용되는 앤티-포렌식 도구들을 조사 및 분석하여 앤티-포렌식 도구들의 특성과 기법을 연구한다. 또한, 상용 포렌식 도구인 Oxygen Forensic Suite를 이용하여 앤티-포렌식 도구들이 제공하는 기능들의 활용성을 검증하는 실험을 실시한다.

• The Korean Journal of Legal Medicine
• /
• 제39권4호
• /
• pp.115-119
• /
• 2015

We investigated event-related potentials (ERPs) to estimate the accuracy of eyewitness memories. Participants watched videos of vehicles being driven dangerously, from an anti-impaired driving initiative. The four-letter license plates of the vehicles were the target stimuli. Random numbers were presented while participants attempted to identify the license plate letters, and electroencephalograms were recorded. There was a significant difference in activity 300-500 milliseconds after stimulus onset, between target stimuli and random numbers. This finding contributes to establishing an eyewitness recognition model where different ERP components may reflect more explicit memory that is dissociable from recollection.

• 디지털산업정보학회논문지
• /
• 제11권4호
• /
• pp.69-79
• /
• 2015

This research proposes a modified data hiding method to hide data in a slack space of an NTFS index record. The existing data hiding method is for anti-forensics, which uses traces of file names of an index entry in an index record when files are deleted in a direcotry. The proposed method in this paper modifies the existing method to make non-admittable ASCII characters for a file name applicable. By improving the existing method, problems of a file creation error due to non-admittable characters are remedied; including the non-admittable 9 characters (i. e. slash /, colon :, greater than >, less than <, question mark ?, back slash ${\backslash}$, vertical bar |, semi-colon ;, esterisk * ), reserved file names(i. e. CON, PRN, AUX, NUL, COM1~COM9, LPT1~LPT9) and two non-admittable characters for an ending character of the file name(i. e. space and dot). Two results of the two message with non-admittable ASCII characters by keyboard inputs show the applicability of the proposed method.