• Journal of information and communication convergence engineering
• /
• 제20권4호
• /
• pp.280-287
• /
• 2022

Recently, the number of mobile ransomware types has increased. Moreover, the number of cases of damage caused by mobile ransomware is increasing. Representative damage cases include encrypting files on the victim's smart device or making them unusable, causing financial losses to the victim. This study classifies ransomware apps by analyzing several representative ransomware apps to identify trends in the malicious behavior of ransomware. We present a technique for recovering from the damage, from a digital forensic perspective, using reverse engineering ransomware apps to analyze vulnerabilities in malicious functions applied with various cryptographic technologies. Our study found that ransomware applications are largely divided into three types: locker, crypto, and hybrid. In addition, we presented a method for recovering the damage caused by each type of ransomware app using an actual case. This study is expected to help minimize the damage caused by ransomware apps and respond to new ransomware apps.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권3호
• /
• pp.938-957
• /
• 2023

The limited computing power of sensor nodes in wireless sensor networks (WSNs) and data tampering during wireless transmission are two important issues. In this paper, we propose a scheme for independent individual authentication of WSNs data based on digital watermarking technology. Digital watermarking suits well for WSNs, owing to its lower computational cost. The proposed scheme uses independent individual to generate a digital watermark and embeds the watermark in current data item. Moreover, a sink node extracts the watermark in single data and compares it with the generated watermark, thereby achieving integrity verification of data. Inherently, individual validation differs from the grouping-level validation, and avoids the lack of grouping robustness. The improved performance of individual integrity verification based on proposed scheme is validated through experimental analysis. Lastly, compared to other state-of-the-art schemes, our proposed scheme significantly reduces the false negative rate by an average of 5%, the false positive rate by an average of 80% of data verification, and increases the correct verification rate by 50% on average.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2021년도 제64차 하계학술대회논문집 29권2호
• /
• pp.215-218
• /
• 2021

심캐시(Shimcache, AppCompatCache) 파일은 Windows 운영체제에서 응용 어플리케이션 간의 운영체제 버전 호환성 이슈를 관리하는 파일이다. 호환성 문제가 발생한 응용 어플리케이션에 대한 정보가 심캐시에 기록되며 프리패치 (Prefetch) 파일이나 레지스트리의 UserAssist 키 등과 같이 응용 어플리케이션의 실행 흔적을 기록한다는 점에서 포렌식적 관점에서 중요한 아티팩트이다. 본 논문에서는 심캐시의 구조를 분석하여 심캐시 파일을 통해 얻을 수 있는 응용 어플리케이션의 정보를 소개하고, 기존 툴 상용도구의 개선을 통해 완전 삭제 등 안티 포렌식 도구의 실행 흔적을 탐지하는 방법을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2007년도 추계학술발표대회
• /
• pp.298-299
• /
• 2007

웹 서버에서 로그파일은 웹 서버에 대한 접속정보를 저장한다. 이 정보를 분석하면 웹 서비스를 하는데 있어서 서비스의 질을 높이는데 좋은 참고자료가 될 뿐 아니라 웹 서버에 이상이 생겼을 경우 발생한 오류를 조기에 발견하는 데에도 사용되는 중요한 자료이다. 현재 이러한 로그파일은 텍스트 파일로 저장이 되어있으며 오랜 시간이 지나 그 웹 페이지가 삭제되었을 경우 로그파일에 기록된 그 시각의 웹 페이지를 찾아보기가 어렵다. 본 연구에서는 로그파일에 기록된 그 시각의 웹 페이지의 이미지를 저장하는 방법으로 이러한 단점을 보안하고 오랜 시간이 지난 후에도 그 웹 페이지를 볼 수 있는 방법을 제안한다. 이 아이디어가 구현되어 실현되면 또한 Digital Forensic 으로써 범죄 수사에도 많은 도움이 될뿐만 아니라 휴대전화로 풀 인터넷 브라우징이 가능한 풀브라우저에도 적용될 수 있다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권9호
• /
• pp.307-314
• /
• 2015

최근 보조기억장치 스토리지 시장 추세는 HDD와 SSD가 혼용되어 사용되고 있다. 미래에는 HDD보다 SSD가 보조기억장치 역할로 더욱 많이 사용될 것으로 예상되고 있다. SSD 기술이 발달하면서 이를 효율적으로 사용하기 위해 TRIM 명령기법이 나오게 되었다. TRIM 명령기법은 과거 SSD의 문제점인 Freezing 현상을 해결하기 위해 나온 명령으로 운영체제와 SSD가 협동하여 작동한다. TRIM 명령기법은 사용자가 데이터를 삭제하였을 때 SSD 내부에서도 실제로 삭제하는 기법으로 유휴시간에 수행한다. 하지만, 디지털 포렌식 관점에서 본다면 디지털 범죄는 매년 급증하지만 데이터 미복구로 인한 검거율은 미흡하다. 본 논문에서는 기존 TRIM 명령의 장점인 안정성(Freezing Solution)과 쓰기 속도를 최대한 지원하며 선별적으로 데이터를 관리하여 삭제하는 기법을 제안한다. 실험을 통해 기존 기법과 선별된 기법의 성능을 측정하여 검증한다.

• 정보보호학회논문지
• /
• 제27권1호
• /
• pp.25-38
• /
• 2017

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1421-1433
• /
• 2015

디지털 기기나 컴퓨터의 포렌식을 통한 정확한 분석을 위해 디지털 포렌식 도구의 신뢰성 검증이 매우 중요하다. 도구의 신뢰성을 검증하기 위해서는 도구에 입력할 데이터 세트에 대한 개발과 연구가 필요하다. 컴퓨터에서 많이 사용되고 있는 윈도우 운영체제에서는 시간과 관련된 데이터 기준과 사용자 행위 기준의 윈도우 포렌식 아티팩트가 있다. 본 논문에서는 이 두 개의 윈도우 아티펙트를 모두 분석할 수 있도록 윈도우 환경에서 데이터 세트를 개발한 후, 공개용 디지털 포렌식 도구들을 이용하여 테스트를 진행하였다. 따라서 개발한 데이터 세트는 행위 기준의 아티팩트를 분석할 수 있는 능력을 키우기 위한 교육용으로, 디지털 포렌식 신뢰성을 검증하기 위한 도구 테스트를 목적으로, 새로운 아티팩트 분석을 위한 재활용성의 특성을 들어 활용방안을 제시한다.

• 한국정보과학회논문지:소프트웨어및응용
• /
• 제37권8호
• /
• pp.599-610
• /
• 2010

고성능 디지털 인쇄기기의 대중화와 손쉬운 이미지 편집 프로그램들의 등장으로 인하여 위 변조 범죄가 증가함에 따라 여러 가지 사회적인 문제를 야기하고 있다. 이를 해결하기 위해서 디지털 포렌식 기술이 활발하게 연구되고 있다. 본 논문에서는 디지털 포렌식 기술의 한 분야인 컬러 레이저 인쇄기기 판별기술을 제안한다. 각 제조사마다 인쇄방법이 다르기 때문에 육안으로 판별할 수 없는 미세한 차이가 출력물에 존재한다는 점을 이용하였다. 출력물의 노이즈를 추정하여 이러한 미세한 차이를 분석하였으며, 제안하는 방법에서는 출력물을 스캔한 이미지에 대해 위너필터를 거쳐 노이즈를 제거한 이미지를 차감하여 노이즈를 추출한다. 계산된 노이즈 대해 명암도 동시발생 행렬을 계산하여 특징값들을 추출한 뒤 이를 서포트 벡터 머신 분류기에 적용하여 인쇄기기를 판별하였다. 제안한 알고리즘의 성능을 분석하기 위하여 7대 프린터에서 각 371장씩 출력된 총 2,597장 이미지로 실험하였다. 제안한 알고리즘은 컬러 디지털 인쇄기기의 제조사를 판별하는데 있어서 97.6%의 정확률을 보였고, 동일 제조사의 모델을 판별하는데 84.5%의 정확률을 나타냈다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.407-416
• /
• 2018

인스타그램(Instagram)은 사람 간의 관계망을 구축하고 취미, 일상, 유용한 정보 등을 공유하는 인터넷 서비스인 소셜 네트워크 서비스(Social Network Service:SNS)로 최근 다양한 연령층에서 각광받고 있다. 하지만 업로드한 개인 정보를 불특정 다수가 열람할 수 있고 검증되지 않은 정보가 무방비하게 공유되기 때문에 이를 악용한 각종 사기, 스토킹, 명의 도용, 저작권 침해, 악성코드 유포 등의 문제가 발생 하고 있다. 이에 따라 인스타그램에 대한 디지털 포렌식적 관점에서의 분석이 필요하나 관련한 연구는 미약한 실정이다. 따라서 본 논문에서는 안드로이드 환경에서 인스타그램에 대해 디지털 포렌식 관점에서 역 공학 및 동적 분석을 수행하였고 그 결과 채팅 내용, 채팅 대상, 게시한 사진, 쿠키 정보 등의 사용자 행위 분석이 가능한 데이터가 담긴 3개의 데이터베이스 파일과 4개의 파일 저장 경로, 다양한 데이터 저장된 xml파일을 확인하였다. 또한 위의 분석 결과를 디지털 포렌식 조사에 활용할 수 있는 방안을 제시한다.

• 한국항행학회논문지
• /
• 제13권5호
• /
• pp.639-645
• /
• 2009

최근 몇 년간 전세계적으로 차량 항법 장치 (Car Navigation System)의 사용이 크게 증가하고 있다. 국내의 CNS 구동 방식은 크게 차량 제조업체에 의해 생산되는 하드웨어 기반과 애프터 마켓을 통해 이용할 수 있는 소프트웨어 기반으로 나눌 수 있다. 이중 소프트웨어 기반 차량항법장치는 외부 저장 매체(ex. SD card)에 저장되어 소프트웨어가 실행되므로 분석이 용이한 장점이 있다. 이러한 소프트웨어 중 하나인 Mappy는 한국에서 가장 많이 사용되는 CNS 소프트웨어로, 신속하고 편리한 사용을 위해 자주 가는 장소, 경로 등의 사용자 정보를 외부 저장매체에 저장한다. 이러한 정보를 디지털 포렌식 관점에서 분석하여 용의자의 행위 추적이나 차량의 이동 정보 분석에 이용될 수 있으며 이렇게 분석된 정보들은 유괴, 살인 등의 다양한 범죄를 수사하는데 이용될 수 있어 큰 시사점을 지닌다. 본 논문은 CNS의 외부 저장매체에 저장되어 있는 정보에 대해 디지털 포렌식 관점에서의 분석을 통해 범죄수사에 있어 구체적으로 이용 가능한 정보를 제공한다.