• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권12호
• /
• pp.463-470
• /
• 2016

최근 MAC 시스템의 점유율 증가로 MAC 기반 디지털 포렌식 기술의 필요성이 증대되고 있다. 디지털 포렌식 분석 과정에서 시스템 사용자가 의도적으로 증거를 삭제한 경우, 시스템에서 삭제된 파일을 복구하여 혐의를 입증하기도 한다. 이를 위해 파일시스템으로부터 삭제된 파일을 복구하기 위한 연구가 꾸준히 이루어져 왔으며, MAC 기반 파일시스템인 HFS+ 또한 이에 대한 연구가 수행되어왔다. HFS+의 운영 및 구조적 특성상 파일이 삭제되면 해당 파일의 메타데이터가 다른 파일 또는 폴더의 메타데이터에 의해 삭제되기 때문에 주로 시그니처를 활용한 카빙 기법이 사용되어왔다. 하지만 File Content가 파일시스템 상에 분할되어 저장되는 경우, 카빙 기법 또한 파일의 일부분만을 복구하거나 파일 전체를 복구할 수 없었다. 본 논문에서는 HFS+ 저널을 이용한 삭제된 파일의 복구 기법에 대해 소개한다. 이는 기존 연구를 통해 제안된 기법으로 HFS+ 저널에 남아있는 메타데이터를 이용하여 삭제된 파일을 복구하는 기법이다. 하지만 해당 기법은 특정 파일이 복구 대상에서 배제되기 때문에 이에 대한 개선의 여지가 남아있다. 본 연구에서는 HFS+ 저널을 상세히 분석할 수 있는 알고리즘을 제시한다. 또한 해당 알고리즘을 기반으로 추출한 메타데이터를 통해 복구 대상에서 배제되는 파일 없이 삭제된 파일을 복구할 수 있음을 실험을 통해 입증한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제11권3호
• /
• pp.64-70
• /
• 2019

Video files of video devices such as black box and CCTV may be damaged due to repetitive file read / write and physical environment factors. Even though there are available parts of video information, it may happen that playback can't be performed due to damage of some information. To playback the remaining video information normally, it is necessary to recover damaged areas of the files. For this, it is necessary to accurately check the damage range of the files. In this paper, we propose the design and implementation of a tool which detects damaged areas of a video file and recovers the usable area of the file to playback. The proposed tool can analyze and recover without additional information by analyzing common information of video container format and can check detailed damaged ranges with chunks. It is possible to perform recovery just only with the target file and reference file without any other information such as codec specification.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.417-429
• /
• 2013

많은 리눅스 운영체제와 안드로이드 운영체제에서 Ext4 파일 시스템을 사용하고 있어 디지털 포렌식 관점에서 Ext4 파일 시스템 상의 삭제 파일 복구가 현안이 되고 있다. 본 논문은 Ext4 파일 시스템에서 파일의 할당, 삭제 시 특징을 분석함으로써 삭제된 파일에 대한 복구 방법을 제시하였다. 특히 안드로이드 운영체제의 파일 할당 정책을 바탕으로 비 할당 영역에 조각나 있는 삭제된 파일에 대한 복구 방법을 제시한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권2호
• /
• pp.93-102
• /
• 2013

최근 대부분의 범죄에 디지털 매체가 사용되면서 디지털 데이터는 필수 조사 대상이 되었다. 하지만 디지털 데이터는 비교적 쉽게 삭제 및 변조가 가능하다. 따라서 디지털 증거 획득을 위해 삭제된 데이터의 복구가 필요하며, 파일 카빙은 컴퓨터 포렌식 조사에서 증거를 획득할 수 있는 중요한 요소이다. 하지만 현재 사용되는 파일 카빙 도구들은 포렌식 조사를 위한 데이터의 선별을 고려하지 않고 있다. 또 기존의 파일 카빙 기법들은 파일의 일부 영역이 덮어써지거나 조각날 경우 복구가 불가능한 단점이 있다. 따라서 본 논문에서는 포렌식 조사시 유용한 정보를 획득할 수 있는 파일을 제안하고, 기존의 파일 카빙 기법보다 효과적으로 데이터를 복구할 수 있는 레코드 파일 카빙 기법을 제시한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제13권3호
• /
• pp.118-123
• /
• 2021

Recently, digital crime is becoming more intelligent, and efficient digital forensic techniques are required to collect evidence for this. In the case of important files related to crime, a specific person may intentionally delete the file. In such a situation, data recovery is a very important procedure that can prove criminal charges. Although there are various methods to recover deleted files, we focuses on the recovery technique using HxD editor. When recovering a deleted file using the HxD editor, check the file structure and access the file data area through calculation. However, there is a possibility that errors such as arithmetic errors may occur when a file approach through calculation is used. Therefore, in this paper, we propose an algorithm that automatically calculates the header and footer of a file after checking the file signature in the root directory for efficient file recovery. If the algorithm proposed in this paper is used, it is expected that the error rate of arithmetic errors in the file recovery process can be reduced.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제6권1호
• /
• pp.25-30
• /
• 2017

안티 포렌식 기법 중 하나인 데이터 삭제 기법은 그 행위의 단순함에 비해 포렌식 분석 관점에서의 그 영향력은 상당하다. 학계에서는 데이터 삭제 기법에 대응하여 지속적으로 삭제된 파일 복구 기법에 대해 연구하였으며, 대표적으로 파일시스템 기반 파일 복구 기법과 파일 포맷 기반 복구 기법이 존재한다. 파일이 삭제되고 난 후 해당 파일의 메타데이터가 파일시스템 상에 존재한다면, 이를 이용하여 손쉽게 파일을 복구할 수 있으나, 메타데이터가 존재하지 않는 경우엔 시그니처 기반 카빙 기법을 이용하여 파일을 복구하거나 파일 포맷에 기반한 복구기법을 적용해야 한다. 이때 파일 포맷에 기반한 복구기법은 파일 구조에 대한 분석과 복구 가능한 기법이 제시되어야 한다. 본 논문은 PDF 파일의 구조적 특성에 기반한 삭제된 PDF 파일의 페이지 단위 복구 기법을 제시한다. 해당 기법은 PDF 파일의 1개 페이지를 구성하는 Page Object의 태그 값을 이용한다. 각 태그 값을 일종의 시그니쳐로서 활용하여 Object를 추출하며, 추출된 Object들을 분석하여 PDF파일의 메타데이터를 재조합한 후 페이지 단위로 재구성한다. 페이지 단위로 복구한다는 것은 삭제된 PDF 파일이 온전하지 않더라도 PDF 파일을 구성했던 일부 페이지라도 복구할 수 있음을 의미한다. 해당 기법을 이용하면 온전하지 않은 상태의 PDF파일에 대한 복구가 가능하다. 이는 디지털 포렌식 분석 관점에서 기존보다 더 많은 데이터를 복구하는데 활용될 수 있다.

• 정보보호학회논문지
• /
• 제27권5호
• /
• pp.1107-1115
• /
• 2017

압축파일 형식으로 가장 많이 쓰이는 PKZIP형식은 ZIP 파일뿐만 아니라 MS Office 파일과 안드로이드 스마트폰의 어플리케이션 파일 등에서 사용되는 파일형식이다. 이처럼 다양한 영역에서 널리 쓰이는 PKZIP 형식의 파일은 디지털 포렌식 관점에서 구조분석이 필수적이고 파일이 손상된 경우 복구를 할 수 있어야 한다. 하지만 기존 연구들의 경우 ZIP 파일에서 사용하는 Deflate 압축 알고리즘이 적용된 데이터를 복구하거나 의미 있는 데이터를 추출해 내는 것에만 초점이 맞춰져 있다. 비록 대부분의 데이터가 ZIP 파일의 압축된 데이터에 존재하지만 그 외의 영역에서도 포렌식적으로 의미 있는 데이터가 존재하기 때문에 정상적인 ZIP 파일 형태로 복구를 해야 한다. 따라서 본 논문에서는 손상된 ZIP 파일이 주어졌을 때 이를 정상적인 형태의 ZIP 파일로 복구하는 기법을 제시한다.

• Journal of Information Technology Applications and Management
• /
• 제12권1호
• /
• pp.125-140
• /
• 2005

Nowadays, we have many embedded systems which store and process multimedia data. For multimedia systems using hard disks as storage media such as DVR, existing file systems are not the right choice to store multimedia data in terms of cost. performance and reliability. In this study we designed a reliable file system with very high performance for embedded multimedia applications. The proposed file system runs with quite simple disk layout to reduce time to initialize and to recover after power failures, uses a large data block to speed up the sequential accesses, incorporates a time-based indexing scheme to improve the time-based random accesses and boosts reliability by backing up the important meta data on a small NVRAM. We implemented the file system on a Linux-based DVR and verified the performance by comparing with existing file systems.

• 한국정보과학회논문지:데이타베이스
• /
• 제37권6호
• /
• pp.292-299
• /
• 2010

최근 플래시 메모리가 디지털 기기의 저장장치로 널리 사용됨에 따라 플래시 메모리에서 디지털 증거를 분석하기 위한 디지털 포렌식의 필요성이 증가하고 있다. 이를 위해 플래시 메모리에 저장되어 있는 파일을 효율적으로 복구하는 것이 매우 중요하다. 그러나 기존의 하드 디스크 기반 파일 복구 기법을 플래시 메모리에 그대로 적용하기에는 너무나 비효율적이다. 덮어쓰기 불가능과 같이 플래시 메모리는 하드 디스크와 전혀 다른 특성을 가지기 때문이다. 본 논문에서 디지털 포렌식을 지원하기 위한 플래시 메모리를 잘 이해하는 파일 복구 기법을 제안한다. 첫째, 플래시 메모리 저장장치로부터 복구 가능한 모든 파일들을 효과적으로 검색하는 방법을 제안한다. 이것은 플래시 메모리의 쓰기 연산을 담당하는 FTL(Flash Translation Layer)의 메타데이터를 최대한 활용한다. 둘째, 복구 대상 파일들 중에서 특정 파일을 효율적으로 복구할 수 있는 기법을 제안하며, 이를 위해 FTL의 사상 테이블의 위치 정보를 이용한다. 다양한 실험을 통해 본 논문에 제안하는 기법이 기존의 하드 디스크 기반 파일 복구 기법보다 우수함을 보인다.

• International Journal of Computer Science & Network Security
• /
• 제21권12호
• /
• pp.53-60
• /
• 2021

Many standard methods are used for secret text files and secrete short messages cryptography, these methods are efficient when the text to be encrypted is small, and the efficiency will rapidly decrease when increasing the text size, also these methods sometimes have a low level of security, this level will depend on the PK length and sometimes it may be hacked. In this paper, a new method will be introduced to improve the data protection level by using a changeable secrete speech file to generate PK. Highly Secure Data Encryption (HSDE) method will be implemented and tested for data quality levels to ensure that the HSDE destroys the data in the encryption phase, and recover the original data in the decryption phase. Some standard methods of data cryptography will be implemented; comparisons will be done to justify the enhancements provided by the proposed method.