• 정보처리학회논문지C
• /
• 제17C권2호
• /
• pp.159-164
• /
• 2010

완전삭제 기술은 저장장치 내 데이터를 복구가 불가능하도록 흔적 없이 완벽하게 삭제하는 기술이다. 최근 개인정보 유출 사고가 급증함에 따라 저장된 데이터의 관리가 중요해지고 있다. 특히 개인정보가 포함된 데이터를 폐기해야 하는 경우, 데이터를 영구적으로 삭제하는 완전삭제 도구를 사용함으로써 개인정보에 대한 불필요한 유출을 막을 수 있다. 또한 완전삭제 기술은 데이터 보안 및 프라이버시 보호 측면으로 활용 가능하다. 그러나 완전삭제 기술은 의도적으로 사건과 관련된 증거를 인멸하기 위해 사용될 수도 있다. 이러한 의도적인 증거 인멸은 사건 수사에 있어서 중요한 실마리가 될 수 있다. 본 논문에서는 디지털 포렌식 수사 과정에서 완전삭제 도구의 사용 흔적을 확인할 수 있는 방안을 제시한다.

• 대한불안의학회지
• /
• 제12권2호
• /
• pp.86-96
• /
• 2016

Paraphilia and paraphilic disorder is one of mental disorders making it difficult to assess and treat. Recently, a number of methods for assessing the paraphilia are being developed gradually outside south Korea. And the reliability and validity of various assessment tools are being reported. The standardization of the assessments and questionnaires was not made yet. For assessment of paraphilia that has been reported from abroad, the author comprehensively organized clinical interview, physical examination, psycho-physiological methods, self-reporting scale of sexual thoughts, fantasies and attitudes and multiple self-reporting scale of sexual interests and described the clinical significance of the assessment tools. The national standardization of both self-reported questionnaire and physical evaluations is expected to be completed later.

• 정보처리학회논문지C
• /
• 제17C권4호
• /
• pp.335-346
• /
• 2010

Mac OS X는 애플에서 제작한 컴퓨터 운영체제이다. 1984년도부터 MAC OS의 마지막 버전인 9를 계승하여 지금의 Mac OS X 10.6(Snow Leopard)에 이르고 있다. 전 세계 운영체제 점유율에서 애플의 Mac OS X운영체제는 10% 정도를 차지하고 있으나, 현재 디지털 포렌식 조사에 활용되고 있는 포렌식 도구들은 Mac OS X에 대한 포렌식 분석을 제대로 수행할 수 없다. Mac OS X에 대한 포렌식 조사를 하는데 있어서, 운영체제 상에서 사용자의 행위와 흔적과 관련된 정보는 중요한 디지털 증거가 될 수 있다. 본 논문에서는 Mac OS X 운영체제 상의 사용자 흔적 정보 수집에 관한 방안을 제시한다.

• 산경연구논집
• /
• 제12권6호
• /
• pp.47-55
• /
• 2021

Purpose: Organizational crime is an offense committed by an individual or an official in a corporate entity for organizational gain. This study aims to explore the literature on challenges facing digital forensics and further discuss possible solutions to such challenges as far as the protection of corporate crime is concerned. Research design, data and methodology: Qualitative textual methodology matches the interpretative approach since it is a quality method meant to consider the inductivity of strategies. Also, a qualitative approach is vital because it is distinct from the techniques used in optimistic paradigms linked to science laws. Results: For achieving justice through the investigation of digital forensic, there is a need to eradicate corporate crimes. This study suggests several solutions to reduce corporate crime such as 'Solving a problem to Anti-forensic Techniques', 'Cloud computing technique', and 'Legal Framework' etc. Conclusion: As corporate crime increases in rate, the data collected by digital forensics increases. The challenge of analyzing chunks of data requires digital forensic experts, who need tools to analyze them. Research findings shows that a change of the operating system and digital evidence interpretation is becoming a challenge as the new computer application software is not compatible with older software's structure.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권3호
• /
• pp.31-40
• /
• 2016

In this paper, we propose a new anti-forensic method for hiding data in the timestamp of a file in the Windows NTFS filesystem. The main idea of the proposed method is to utilize the 16 least significant bits of the 64 bits in the timestamps. The 64-bit timestamp format represents a number of 100-nanosecond intervals, which are small enough to appear in less than a second, and are not commonly displayed with full precision in the Windows Explorer window or the file browsers of forensic tools. This allows them to be manipulated for other purposes. Every file has $STANDARD_INFORMATION and $FILE_NAME attributes, and each attribute has four timestamps respectively, so we can use 16 bytes to hide data. Without any changes in an original timestamp of "year-month-day hour:min:sec" format, we intentionally put manipulated data into the 16 least significant bits, making the existence of the hidden data in the timestamps difficult to uncover or detect. We demonstrated the applicability and feasibility of the proposed method with a test case.

• 한국정보통신학회논문지
• /
• 제20권4호
• /
• pp.777-785
• /
• 2016

IM(Instant Messenger)의 채팅메시지는 이용자의 생활패턴, 지리적 위치, 심리 상태, 범죄 사실에 대한 흔적들이 존재하여 포렌식 분석이 필요하다. 하지만, KakaoTalk의 포렌식 분석은 주고받은 상세메시지에 대한 분석이 부족한 실정이다. 이에 본 논문은 우선 일반적인 IM 채팅메시지의 분석방법론을 정리 분석하였고, KakaoTalk의 상세 채팅메시지의 테이블 구조를 분석하여 메시지를 재구성하였고, 채팅메시지를 복원하였다. 그 결과 분석한 정보를 활용하면 Forensic Tool의 기본 플랫폼이 된다. 추가적으로 분석한 KakaoTalk과 WhatsApp을 비교 분석하여 비슷한 IM App이지만, 다른 흔적의 차이를 논의하였다.

• 한국컴퓨터정보학회논문지
• /
• 제24권9호
• /
• pp.51-58
• /
• 2019

Temporal analysis is very useful and important for digital forensics for reconstructing the timeline of digital events. Forgery of a file's timestamp can lead to inconsistencies in the overall temporal relationship, making it difficult to analyze the timeline in reconstructing actions or events and the results of the analysis might not be reliable. The purpose of the timestamp change is to hide the data in a steganographic way, and the other purpose is for anti-forensics. In both cases, the time stamp change tools are requested to use. In this paper, we propose a classification method based on the behavior of the timestamp change tools. The timestamp change tools are categorized three types according to patterns of the changed timestamps after using the tools. By analyzing the changed timestamps, it can be decided what kind of tool is used. And we show that the three types of the patterns are closely related to API functions which are used to develop the tools.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권2호
• /
• pp.93-102
• /
• 2013

최근 대부분의 범죄에 디지털 매체가 사용되면서 디지털 데이터는 필수 조사 대상이 되었다. 하지만 디지털 데이터는 비교적 쉽게 삭제 및 변조가 가능하다. 따라서 디지털 증거 획득을 위해 삭제된 데이터의 복구가 필요하며, 파일 카빙은 컴퓨터 포렌식 조사에서 증거를 획득할 수 있는 중요한 요소이다. 하지만 현재 사용되는 파일 카빙 도구들은 포렌식 조사를 위한 데이터의 선별을 고려하지 않고 있다. 또 기존의 파일 카빙 기법들은 파일의 일부 영역이 덮어써지거나 조각날 경우 복구가 불가능한 단점이 있다. 따라서 본 논문에서는 포렌식 조사시 유용한 정보를 획득할 수 있는 파일을 제안하고, 기존의 파일 카빙 기법보다 효과적으로 데이터를 복구할 수 있는 레코드 파일 카빙 기법을 제시한다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.71-82
• /
• 2011

라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈커널 객체 구조 설명 및 분석 방법을 설명한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 그 효과를 입증한다.

• 약학회지
• /
• 제55권2호
• /
• pp.106-115
• /
• 2011

Systematic toxicological analysis (STA) means the process for general unknown screening of drugs and toxic compounds in biological fluids. In order to establish STA, in previous study we investigated pattern of drugs & poisons in autopsy cases during 2007~2009 in Korea, and finally selected 62 drugs as target drugs for STA. In this study, rapid and simple drug identification and quantitative analytical program by gas chromatography-mass spectrometry(GC-MS) was developed. The in-house program, "DrugMan", consisted of modified chemstation data analysis menu and newly developed macro modules. Total 55 drugs among 62 target drugs were applied to this program, they were 14 antidepressants, 8 anti-histamines, 5 sedatives/hypnotics, 5 narcotic analgesics, 3 antipsychotic drugs, and etc. For calibration curves, fifty five drugs were divided into four groups of range considering their therapeutic or toxic concentrations in blood specimen, i.e. 0.05~1 mg/l, 0.1~1 mg/l, 0.1~5 mg/l or 0.5~10 mg/l. Standards spiked bloods were extracted by solid-phase extraction (SPE) with trimipramine-D3 as internal standard. Parameters such as retention times, 3 mass fragment ions, and calibration curves for each drug were registered to DrugMan. A series of identification, semi quantitation of target drugs and reporting the results were performed automatically. Calibration curves for most drugs were linear with correlation coefficients exceeding 0.98. Sensitivity rate of DrugMan was 0.90 (90%) for 55 drugs at the level of 0.5 mg/l. For standard spiked bloods at the level of 0.5 mg/l for 29 drugs, semi quantitative concentrations were ranged 0.36~0.64 mg/l by DrugMan. If more drugs are registered to database in DrugMan in further study, it will be useful tools for STA in forensic toxicology.