• 정보보호학회논문지
• /
• 제29권4호
• /
• pp.835-845
• /
• 2019

파일 카빙(File Carving)은 저장 매체가 포맷되거나 파일시스템이 손상되어 메타데이터가 없는 파일 복구를 시도하는 기법으로 일반적으로 파일의 특정 헤더/푸터 시그니처 및 데이터 구조를 찾는다. 그러나 파일 카빙은 오랫동안 단편화 (Fragmentation) 된 파일을 복구해내는 문제점에 직면하고 있으며, 디지털포렌식에서 중요한 대상의 파일(doc, hwp, xls 등)은 비교적 단편화되기 쉬우므로 이에 대한 해결방안 제시는 매우 중요하다. 이와 같은 한계점을 극복하기 위하여 다양한 카빙 기법 및 도구들이 지속적으로 개발되고 있으며, 기능 검증을 위하여 다양한 연구 및 기관에서 데이터셋을 제공한다. 그러나, 기존에 제공된 데이터셋은 환경적인 조건이 상당히 제한되어 도구를 검증하는데 있어 비효율적이다. 본 논문에서는 단편화된 파일 카빙의 중요성을 언급하고, 카빙 도구 검증을 위한 시나리오 기반의 16가지의 이미지를 개발한다. 개발된 이미지는 상용 카빙 도구로 잘 알려진 Foremost를 통하여 매체 별로 카빙률 및 정확도를 계산하여 나타낸다.

• 인터넷정보학회논문지
• /
• 제21권3호
• /
• pp.93-102
• /
• 2020

디지털 범죄 수사의 전 단계에 걸쳐 획득된 자료가 증거 능력으로 인정 받을 수 있기 위해서는 법적/기술적 요구사항을 만족하여야 한다. 본 논문에서는 파일 시스템에서 기본적으로 제공하는 정보에 의존하지 않고, 저장장치 디스크 내부의 비할당 영역을 블록 단위로 스캔/검사하여 파일을 자동 복구하여 디지털 포렌식 증거 자료로 확보하는 메커니즘을 제시하였고 이를 직접 SW로 구현하였다. 제시한 기법은 분석 대상 시스템의 RAW 디스크 데이터에 대해 운영체제에서 제공하는 파일 시스템 관련 정보를 참조하지 않으면서 디스크 내에 저장된 각종 파일의 저장 포맷/파일 구조에 관한 정보를 토대로 512 바이트 블록 단위로 검사/분석하는 파일 카빙 과정을 구현하였으며, 저장 장치 내에 삭제되거나 손상된 파일을 지능적으로 복원하는 Smart Carving 메커니즘을 제시하였다. 구현한 기법을 이용할 경우 디지털 포렌식 분석 과정에서 시스템 내부에 저장된 파일에 대한 위변조 여부를 지능적으로 판별할 수 있는 블록 기반 스마트 카빙 기능을 제공한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권2호
• /
• pp.93-102
• /
• 2013

최근 대부분의 범죄에 디지털 매체가 사용되면서 디지털 데이터는 필수 조사 대상이 되었다. 하지만 디지털 데이터는 비교적 쉽게 삭제 및 변조가 가능하다. 따라서 디지털 증거 획득을 위해 삭제된 데이터의 복구가 필요하며, 파일 카빙은 컴퓨터 포렌식 조사에서 증거를 획득할 수 있는 중요한 요소이다. 하지만 현재 사용되는 파일 카빙 도구들은 포렌식 조사를 위한 데이터의 선별을 고려하지 않고 있다. 또 기존의 파일 카빙 기법들은 파일의 일부 영역이 덮어써지거나 조각날 경우 복구가 불가능한 단점이 있다. 따라서 본 논문에서는 포렌식 조사시 유용한 정보를 획득할 수 있는 파일을 제안하고, 기존의 파일 카빙 기법보다 효과적으로 데이터를 복구할 수 있는 레코드 파일 카빙 기법을 제시한다.

• 제어로봇시스템학회:학술대회논문집
• /
• 제어로봇시스템학회 2003년도 ICCAS
• /
• pp.256-259
• /
• 2003

This paper presents the analyses of Auto CAD plot file for carving machine. The plot file is first analyzed and then sorted to properly perform a sequence of the line segments. The experimental results show that this technique can improve the carving performance, reduce the operating time, and save the tool and machine’s lifetime. In addition, this proposed technique can also be extended to apply for other coordinate machines.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2012년도 한국컴퓨터종합학술대회논문집 Vol.39 No.1(C)
• /
• pp.245-247
• /
• 2012

We know that JPEG image format is one of the most popular image formats in the digital area and distribution of digital photographic drawing it is interested frequently in certain types of forensic investigation. In most case, corrupted images are shown gaudiness with the boundary of the corrupted parts. In the paper, we propose a technique to carve correct JPEG images using transformation method and the approach can be used for JPEG image file carving tool development.

• 한국음향학회지
• /
• 제36권2호
• /
• pp.136-143
• /
• 2017

본 논문에서는 심층 신경망을 이용하여 손상된 음성파일을 복원하는 방법을 제안한다. 본 논문에서 다루는 음성파일 복원은 기존의 파일 카빙(file carving) 기반의 복원과는 다른 개념으로, 기존 기법으로는 복원할 수 없었던 손실된 정보를 복원하는 것이 목적이다. 새로운 복원 기법을 수행하는 과정에서 필요한 작업이지만 사람이 직접 수행할 수 없거나 너무 많은 시간이 소요되는 작업을 심층 신경망을 활용해 자동화할 수 있는 방안을 제안하였으며 관련한 실험을 진행하였다. 실험 결과, 심층 신경망을 활용해 음성, 비음성 분류나 음성파일 부호화 방식의 식별이 가능해 기존 파일 카빙 기반 방법이 복원하지 못하는 파일을 복원할 수 있었다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.417-429
• /
• 2013

많은 리눅스 운영체제와 안드로이드 운영체제에서 Ext4 파일 시스템을 사용하고 있어 디지털 포렌식 관점에서 Ext4 파일 시스템 상의 삭제 파일 복구가 현안이 되고 있다. 본 논문은 Ext4 파일 시스템에서 파일의 할당, 삭제 시 특징을 분석함으로써 삭제된 파일에 대한 복구 방법을 제시하였다. 특히 안드로이드 운영체제의 파일 할당 정책을 바탕으로 비 할당 영역에 조각나 있는 삭제된 파일에 대한 복구 방법을 제시한다.

• 정보보호학회논문지
• /
• 제20권6호
• /
• pp.43-51
• /
• 2010

디지털 포렌식 관점에서 디스크의 비할당 영역의 데이터를 분석하는 것은 삭제된 데이터를 조사할 수 있다는 점에서 의미가 있다 파일 카빙(Carving) 을 이용하여 비할당 영역의 데이터를 복구할 경우 일반적으로 연속적으로 할당된 완전한 파일은 복구 기능하지만, 비연속적으로 할당되거나 완전하지 않은 형태의 단편화된 데이터 파편(Fragment)은 복구하기 어렵다. 하지만 데이터 파편은 많은 양의 정보를 포함하고 있기 때문에 이에 대한 분석이 필요하다. Microsoft Word. Excel, PowerPoint, PDF 문서 파일은 텍스트와 같은 정보들을 압축된 형태로 저장하거나 문서 내부에 특정 형식을 이용하여 저장한다. 앞서 언급한 문서 파일의 일부분이 데이터 파편에 저장되어 있을 경우 해당 데이터 파편에서 데이터의 압축 여부를 판단하거나 문서 내부 형식을 이용하여 텍스트 추출이 가능하다. 본 논문에서는 비할당 영역 데이터 파편에서 특정 문서파일의 텍스트를 추출하는 방안을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.463-470
• /
• 2016

최근 MAC 시스템의 점유율 증가로 MAC 기반 디지털 포렌식 기술의 필요성이 증대되고 있다. 디지털 포렌식 분석 과정에서 시스템 사용자가 의도적으로 증거를 삭제한 경우, 시스템에서 삭제된 파일을 복구하여 혐의를 입증하기도 한다. 이를 위해 파일시스템으로부터 삭제된 파일을 복구하기 위한 연구가 꾸준히 이루어져 왔으며, MAC 기반 파일시스템인 HFS+ 또한 이에 대한 연구가 수행되어왔다. HFS+의 운영 및 구조적 특성상 파일이 삭제되면 해당 파일의 메타데이터가 다른 파일 또는 폴더의 메타데이터에 의해 삭제되기 때문에 주로 시그니처를 활용한 카빙 기법이 사용되어왔다. 하지만 File Content가 파일시스템 상에 분할되어 저장되는 경우, 카빙 기법 또한 파일의 일부분만을 복구하거나 파일 전체를 복구할 수 없었다. 본 논문에서는 HFS+ 저널을 이용한 삭제된 파일의 복구 기법에 대해 소개한다. 이는 기존 연구를 통해 제안된 기법으로 HFS+ 저널에 남아있는 메타데이터를 이용하여 삭제된 파일을 복구하는 기법이다. 하지만 해당 기법은 특정 파일이 복구 대상에서 배제되기 때문에 이에 대한 개선의 여지가 남아있다. 본 연구에서는 HFS+ 저널을 상세히 분석할 수 있는 알고리즘을 제시한다. 또한 해당 알고리즘을 기반으로 추출한 메타데이터를 통해 복구 대상에서 배제되는 파일 없이 삭제된 파일을 복구할 수 있음을 실험을 통해 입증한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권1호
• /
• pp.25-30
• /
• 2017

안티 포렌식 기법 중 하나인 데이터 삭제 기법은 그 행위의 단순함에 비해 포렌식 분석 관점에서의 그 영향력은 상당하다. 학계에서는 데이터 삭제 기법에 대응하여 지속적으로 삭제된 파일 복구 기법에 대해 연구하였으며, 대표적으로 파일시스템 기반 파일 복구 기법과 파일 포맷 기반 복구 기법이 존재한다. 파일이 삭제되고 난 후 해당 파일의 메타데이터가 파일시스템 상에 존재한다면, 이를 이용하여 손쉽게 파일을 복구할 수 있으나, 메타데이터가 존재하지 않는 경우엔 시그니처 기반 카빙 기법을 이용하여 파일을 복구하거나 파일 포맷에 기반한 복구기법을 적용해야 한다. 이때 파일 포맷에 기반한 복구기법은 파일 구조에 대한 분석과 복구 가능한 기법이 제시되어야 한다. 본 논문은 PDF 파일의 구조적 특성에 기반한 삭제된 PDF 파일의 페이지 단위 복구 기법을 제시한다. 해당 기법은 PDF 파일의 1개 페이지를 구성하는 Page Object의 태그 값을 이용한다. 각 태그 값을 일종의 시그니쳐로서 활용하여 Object를 추출하며, 추출된 Object들을 분석하여 PDF파일의 메타데이터를 재조합한 후 페이지 단위로 재구성한다. 페이지 단위로 복구한다는 것은 삭제된 PDF 파일이 온전하지 않더라도 PDF 파일을 구성했던 일부 페이지라도 복구할 수 있음을 의미한다. 해당 기법을 이용하면 온전하지 않은 상태의 PDF파일에 대한 복구가 가능하다. 이는 디지털 포렌식 분석 관점에서 기존보다 더 많은 데이터를 복구하는데 활용될 수 있다.