• Proceedings of the Korean Institute of Information and Commucation Sciences Conference
• /
• 2014.05a
• /
• pp.355-357
• /
• 2014

Linux environment that is commonly used at embedded systems, supports various file systems as Ext2, FAT, NTFS, ets. The file system that is equiped on the embedded system is mostly implemented on mini hard disk or flash memory. The types of the file system of the system make an effect on the performance of a application programs. The factors of file system performance on a same media are block allocation and block free time. On these factors, block free time is not so different according to the type of file systems. This thesis performs the performance benchmark of a Ext2, FAT and NTFS file systems about block allocation performance. As the result, it is discussed that what file system is better at which case.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2018.07a
• /
• pp.478-479
• /
• 2018

본 논문에서는 NTFS 파일시스템에서 디렉토리 인덱스의 구조내에 데이터를 숨기기 방법을 적용하는데 있어서 필요한 요소들에 대한 설명과 그것의 필요성에 대하여 논하기로 한다. 기존에 발표된 이 방법은 NTFS의 디렉토리 인덱스를 유지하기 위하여 B-tree방식으로 인덱스에 대한 데이터 구조를 운영하고 있는 점을 이용하여 인덱스의 정보를 담고 있는 인덱스 레코드 안에 저장되는 파일명을 이용하여 데이터 감추기를 수행하는 방법이다. 이것을 하기 위하여 필요한 몇가지 요소가 있는데 그 중에서 파일시스템, 작업 디렉토리, 위장 파일, 숨기려는 데이터, 사용할 수 없는 문자들, 앵커파일, 분석도구 등에 대한 것들을 나열하고 해당하는 요소들이 필요성과 그에 대한 의미를 기술하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.10a
• /
• pp.637-639
• /
• 2004

인터넷의 확산으로 인한 바이러스의 감염, 정전 등의 재해로 인해 파일 시스템이 손상될 수 있기 때문에 이를 복구하기 위한 기법들에 대한 다양한 연구가 이루어지고 있다. 그러나 기존 연구들은 파일 시스템이 정상적으로 동작하는 환경에서 수행 도중의 오류를 복구하기 위한 로그 기법들이 주로 사용되고 있다. 이러한 기법들은 파일 시스템의 기본구조가 손상될 경우 해당 디스크에 접근이 불가능하기 때문에 한계점이 존재한다 따라서 본 논문에서는 파일 시스템 기본 구조 복구 모델을 제안한다. 또한 실수로 파일을 완전히 삭제할 경우 운영체제가 제공하는 정상적인 방법으로는 삭제된 파일에 접근 할 수 없다. 따라서 완전히 삭제된 파일을 복구할 수 있는 방안을 제시하고 이를 구현하였다.

• Journal of the Institute of Electronics Engineers of Korea CI
• /
• v.49 no.4
• /
• pp.1-8
• /
• 2012

The NTFS journaling file($LogFile) is used to keep the file system clean in the event of a system crash or power failure. The operation on files leaves large amounts of information in the $LogFile. Despite the importance of a journal file as a forensic evidence repository, its structure is not well documented. The researchers used reverse engineering in order to gain a better understanding of the log record structures of address parts, and utilized the address for identifying object files to gain forensic information.

• Journal of Korea Society of Digital Industry and Information Management
• /
• v.6 no.2
• /
• pp.107-118
• /
• 2010

This paper proposes a digital forensic method to a file creation transaction using a journal file($LogFile) on NTFS File System. The journal file contains lots of information which can help recovering the file system when system failure happens, so knowledge of the structure is very helpful for a forensic analysis. The structure of the journal file, however, is not officially opened. We find out the journal file structure with analyzing the structure of log records by using reverse engineering. We show the digital forensic procedure extracting information from the log records of a sample file created on a NTFS volume. The related log records are as follows: bitmap and segment allocation information of MFT entry, index entry allocation information, resident value update information($FILE_NAME, $STANDARD_INFORMATION, and INDEX_ALLOCATION attribute etc.).

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2020.01a
• /
• pp.65-66
• /
• 2020

이 논문에서는 NTFS 파일시스템에서 여러 개의 클러스터에 걸쳐서 슬랙 영역에 데이터 숨기기를 수행하는 데이터 숨기기 방법의 강인성을 조사하기 위하여 디스크 조각모음 실험을 수행할 때 필요한 방법을 제안한다. 디스크 조각모음의 실행으로 클러스터의 위치가 변동되기 위해서는 여러 클러스터에 걸친 디스크 조각의 단편화가 일어날 수 있도록 파일을 생성하고 삭제하는 작업을 수행한다. 그 후에 용량이 큰 파일을 복사하여 여러 클러스터에 걸친 단편화된 파일을 작위적으로 생성한다. 단편화된 파일만을 남기고 그 이외의 다른 파일들을 삭제한 후에 디스크조각 모음을 수행한다. 이 실험에 필요한 준비과정과 실험과정을 제안한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2006.06a
• /
• pp.412-415
• /
• 2006

본 논문에서는 NTFS 파일시스템의 $LOGFILE을 활용하여 범인의 행동 흐름 파악 메커니즘을 제시한다. 기존에 Carrier, Brian에 의해 제시된 NTFS파일 시스템의 분석은 주로 할당되지 않은 $MFT의 분석을 통해서 이루어졌다.$^{[1]}$ 증거물을 포착하기 위해서 사용되었던 $MFT 분석 방식을 벗어나 $LOGFILE을 통해 범죄자의 파일에 대한 조작 행위의 순서를 파악한다.

• The Journal of Korea Institute of Information, Electronics, and Communication Technology
• /
• v.8 no.4
• /
• pp.327-337
• /
• 2015

This work provides new forensic techinque to a hide message on a directory index in Windows NTFS file system. Behavior characteristics of B-tree, which is apoted to manage an index entry, is utilized for hiding message in slack space of an index record. For hidden message not to be exposured, we use a disguised file in order not to be left in a file name attribute of a MFT entry. To understand of key idea of the proposed technique, we describe B-tree indexing method and the proposed of this work. We show the proposed technique is practical for anti-forensic usage with a real message hiding case using a developed software tool.

• Proceedings of the Korean Society of Computer Information Conference
• /
• 2019.07a
• /
• pp.391-392
• /
• 2019

본 논문에서는 타임스탬프의 위변조를 위한 안티포렌식의 도구로 사용되는 타임스탬프 변경도구들에 기능에 대하여 디지털 포렌식 관점에서 분석을 수행한다. 타임스탬프 변경도구들로써 수행할 수 있는 타임스탬프 변경작업의 범위와 특징을 찾아본다. NTFS파일시스템에서 사용하는 타임스탬프 변경도구들의 기능상의 분류는 그것들이 변경할 수 있는 타임스탬프 종류와 정밀도를 기준으로 정하고 그 도구들을 사용한 후에 기록된 타임스탬프의 특징들을 디지털 포렌식 관점에서 분석을 수행하기로 한다. 이 연구에서의 분류 형태 중 타입 I은 FileTouch.exe, SKTimeStamp, BulkFileChanger류의 도구들과 타입 II는 timestomp, 타입 III은 SetMACE로 분류하고 각 도구들을 사용한 후에 변경된 타임스탬프들의 특징을 살펴보기로 한다.

• Convergence Security Journal
• /
• v.15 no.7
• /
• pp.75-84
• /
• 2015

In an "NTFS Index Record Data Hiding" method messages are hidden by using file names. Windows NTFS file naming convention has some forbidden ASCII characters for a file name. When inputting Hangul with the Roman alphabet, if the forbidden characters for the file name and binary data are used, the codes are convert to a designated unicode point to avoid a file creation error due to unsuitable characters. In this paper, the problem of a file creation error due to non-admittable characters for the file name is fixed, which is used in the index record data hiding method. Using Hangul with Roman alphabet the characters cause a file creation error are converted to an arbitrary unicode point except Hangul and Roman alphabet area. When it comes to binary data, all 256 codes are converted to designated unicode area except an extended unicode(surrogate pairs) and ASCII code area. The results of the two cases, i.e. the Hangul with Roman alphabet case and the binary case, show the applicability of the proposed method.