• 한국컴퓨터정보학회논문지
• /
• 제24권9호
• /
• pp.51-58
• /
• 2019

Temporal analysis is very useful and important for digital forensics for reconstructing the timeline of digital events. Forgery of a file's timestamp can lead to inconsistencies in the overall temporal relationship, making it difficult to analyze the timeline in reconstructing actions or events and the results of the analysis might not be reliable. The purpose of the timestamp change is to hide the data in a steganographic way, and the other purpose is for anti-forensics. In both cases, the time stamp change tools are requested to use. In this paper, we propose a classification method based on the behavior of the timestamp change tools. The timestamp change tools are categorized three types according to patterns of the changed timestamps after using the tools. By analyzing the changed timestamps, it can be decided what kind of tool is used. And we show that the three types of the patterns are closely related to API functions which are used to develop the tools.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2019년도 제60차 하계학술대회논문집 27권2호
• /
• pp.391-392
• /
• 2019

본 논문에서는 타임스탬프의 위변조를 위한 안티포렌식의 도구로 사용되는 타임스탬프 변경도구들에 기능에 대하여 디지털 포렌식 관점에서 분석을 수행한다. 타임스탬프 변경도구들로써 수행할 수 있는 타임스탬프 변경작업의 범위와 특징을 찾아본다. NTFS파일시스템에서 사용하는 타임스탬프 변경도구들의 기능상의 분류는 그것들이 변경할 수 있는 타임스탬프 종류와 정밀도를 기준으로 정하고 그 도구들을 사용한 후에 기록된 타임스탬프의 특징들을 디지털 포렌식 관점에서 분석을 수행하기로 한다. 이 연구에서의 분류 형태 중 타입 I은 FileTouch.exe, SKTimeStamp, BulkFileChanger류의 도구들과 타입 II는 timestomp, 타입 III은 SetMACE로 분류하고 각 도구들을 사용한 후에 변경된 타임스탬프들의 특징을 살펴보기로 한다.

• Journal of information and communication convergence engineering
• /
• 제20권4호
• /
• pp.280-287
• /
• 2022

Recently, the number of mobile ransomware types has increased. Moreover, the number of cases of damage caused by mobile ransomware is increasing. Representative damage cases include encrypting files on the victim's smart device or making them unusable, causing financial losses to the victim. This study classifies ransomware apps by analyzing several representative ransomware apps to identify trends in the malicious behavior of ransomware. We present a technique for recovering from the damage, from a digital forensic perspective, using reverse engineering ransomware apps to analyze vulnerabilities in malicious functions applied with various cryptographic technologies. Our study found that ransomware applications are largely divided into three types: locker, crypto, and hybrid. In addition, we presented a method for recovering the damage caused by each type of ransomware app using an actual case. This study is expected to help minimize the damage caused by ransomware apps and respond to new ransomware apps.

• International Journal of Internet, Broadcasting and Communication
• /
• 제14권3호
• /
• pp.8-16
• /
• 2022

In this paper, we propose a method of reconstructing the file system to obtain digital forensics information from the APFS file system when meta information that can know the structure of the file system is deleted due to partial damage to the disk. This method is to reconstruct the tree structure of the file system by only retrieving the B-tree node where file/directory information is stored. This method is not a method of constructing nodes based on structural information such as Container Superblock (NXSB) and Volume Checkpoint Superblock (APSB), and B-tree root and leaf node information. The entire disk cluster is traversed to find scattered B-tree leaf nodes and to gather all the information in the file system to build information. It is a method of reconstructing a tree structure of a file/directory based on refined essential data by removing duplicate data. We demonstrate that the proposed method is valid through the results of applying the proposed method by generating numbers of user files and directories.

• International Journal of Internet, Broadcasting and Communication
• /
• 제14권1호
• /
• pp.10-18
• /
• 2022

Since High Sierra, APFS has been used as the main file system. It is a well-established file system that has been used stably thus far. From the perspective of digital forensics, there are still many areas to be investigated. Apple File System Reference is provided to the apple developer site, but it is not satisfactory to fully analyze APFS. Researchers know more about the structure of APFS than before, but they have not yet fully analyzed its structure to a perfect level about it. In this paper, we develop APFS object identification tool for digital forensics. The most basic and essential object identification and analysis of the APFS filesystem will be conducted with the tool. The analysis in this study serves as the background for an analysis of the checkpoint operation principle and structure, including the more complex B-tree structure of APFS. There are several options for the developed tool, but the results of two use cases will be shown here. Based on the implemented tool, it is hoped that more functions will be added to make APFS a useful tool for faster and more accurate analyses.

• Journal of Platform Technology
• /
• 제11권4호
• /
• pp.35-49
• /
• 2023

최근 다양한 원인으로 실시간 사이버 위협이 지속적으로 발생하고 있다. 대부분의 기업들이 내부 중요정보를 디지털화해 중앙집중식으로 저장하고 있는 특성을 가지고 있어 침해사고 발생 시 영향도가 매우 높다고 할 수 있다. 침해사고 대응 과정에서 수집 및 분석하는 모든 전자기기의 정보들은 수시로 변경이 일어날 수 있는 특성을 가지고 있다. 향후 수사 및 법정에서 관련 증거 자료의 제출이 필요하게 되는데 이때 무결성의 원칙, 절차 연속성(Chain of Custody) 원칙 등 디지털 포렌식의 기본원칙들을 지켜 증거자료의 정당성, 정확성 등을 확보해야 한다. 또한 내부 기밀자료, 개인정보가 유출되어도 모르는 경우가 있으며 디지털 포렌식 기반의 침해사고 진단도 주기적으로 진행해 침해사고의 사전 방지 또는 사고 후에 빠른 인지가 가능하도록 해야 한다. 본 논문에서는 침해사고 발생 시 수집 및 분석한 디지털 증거자료의 정당성 및 정확성 확보, 침해사고 사전 방지 및 사고 후 빠른 인지를 목표로 하는 윈도우10 환경의 디지털 포렌식 기반 침해사고 진단 및 대응 절차를 제안한다.

• 융합정보논문지
• /
• 제10권5호
• /
• pp.23-29
• /
• 2020

최근 디지털 범죄 수사는 많은 범죄 현장에서 사용되고 있다. 범죄 현장에서는 다양한 전자 장치가 존재하며, 이러한 장치의 디지털포렌식(Digital Forensics) 결과는 중요한 증거로 사용된다. 특히, 디지털포렌식에서 사용자의 행동과 해당 행동이 발생한 시간은 매우 중요한 정보이다. 하지만 사용자의 행동이 기록되는 주기가 짧은 한계점을 가지고 있다. 이러한 특징은 실제 디지털포렌식의 제한 요소로 작용한다. 본 논문에서는 삭제된 사용자 행동 레코드를 복구하고 이를 디지털포렌식에 적용하였으며, 이전 조사 방법과 차이점을 비교하였다. 스토리지에 따라 복구 결과에는 차이가 존재하지만 복구 된 사용자의 동작이 디지털포렌식에 활용 될 때, 사용자 행위 기록이 최소 6%에서 최대 539%로 증가하는 결과를 보여준다.

• 정보보호학회논문지
• /
• 제21권3호
• /
• pp.165-176
• /
• 2011

본 논문에서는 TTAK.KO-12.0112 문서에 따른 컴퓨터 포렌식을 위한 디지털 증거 분석도구의 일반적인 검증 절차를 살펴보고, 제시된 검증 항목들을 이용하여 실제 증거분석 도구를 대상으로 기능 요구사항들을 테스트한다. 또한 테스트 내용을 바탕으로 대상 도구들에 대한 성능 평가를 수행하며 각 도구들의 증거 분석 기능에 대하여 향후 성능 개선 방향을 제시한다. 이는 테스트 대상 도구가 수행 가능한 기능들을 파악하고, 요구사항 문서에서 제안된 검증 절차들을 활용하여 각 기능 별로 구체적인 모의 테스트를 설계한 후, 검증 항목의 내용을 포함시킨 가상의 증거 이미지 파일들을 생성하여 도구가 분석한 결과를 검증하고 해석한다. 이 과정을 통해 대부분의 도구들에서 단편화된 삭제 파일에 대한 복구, 국내에서 널리 사용되고 있는 파일 포맷 인식, 한글 문자열 처리 기능 등에 취약점이 존재함을 확인할 수 있다.

• 한국컴퓨터정보학회논문지
• /
• 제27권10호
• /
• pp.115-121
• /
• 2022

본 논문에서는 모바일 포렌식이 활용된 사례를 중심으로 모바일 포렌식 기술 활용의 동향을 분석하고, 이를 기반으로 미래 예측 모델에 사용하는 선형 회귀 분석을 사용하여 미래 모바일 포렌식 기술의 발전을 전망한다. 현황과 전망분석을 위해 국외 및 국내 모바일 포렌식 관련 사례 및 신문 기사 등 1,397개를 분석하여, 발생 연도를 포함하는 총 8개의 변수를 추출하였다. 발생 연도를 독립 변수로 하고, 텍스트(문자메시지 사용정보), 통신정보(휴대전화 통신정보), 인터넷 사용정보, 메신저 사용정보, 저장된 파일, GPS, 기타 등 7개의 변수를 종속변수로 하여 각 변수에 대한 전망분석 결과 모바일 기기의 다양한 활용 측면 중 인터넷 사용정보, 메신저 사용정보, 모바일 기기에 저장된 데이터 등의 분야에 대한 활용이 증가할 것으로 예상된다. 따라서, 향후 모바일 기기의 성능과 활용성 증가 및 보안기술 향상에 따라 파일시스템, 인터넷, 메신저 등 모바일 기기의 특성 정보를 효과적으로 추출하고 분석할 수 있는 기술에 관한 연구가 지속적으로 필요할 것으로 예상된다.

• 한국산학기술학회논문지
• /
• 제12권1호
• /
• pp.467-473
• /
• 2011

본 논문은 네트워크 패킷에 대한 무결성을 보장하여 법적 증거 자료로써 효력을 가질 수 있는 네트워크 포렌식 시스템을 제안하고자 한다. 본 논문에서 제안된 네트워크 포렌식 시스템은 기업이 네트워크 사고를 통한 법정분쟁과 국가 기관에서 네트워크 범죄에 대한 수사에 대해 효과적인 해결 방법을 제시하며 사용자 중심의 보고서를 통한 효율적인 업무 인지도를 향상 시킬 수 있다.