• 디지털산업정보학회논문지
• /
• 제6권2호
• /
• pp.107-118
• /
• 2010

This paper proposes a digital forensic method to a file creation transaction using a journal file($LogFile) on NTFS File System. The journal file contains lots of information which can help recovering the file system when system failure happens, so knowledge of the structure is very helpful for a forensic analysis. The structure of the journal file, however, is not officially opened. We find out the journal file structure with analyzing the structure of log records by using reverse engineering. We show the digital forensic procedure extracting information from the log records of a sample file created on a NTFS volume. The related log records are as follows: bitmap and segment allocation information of MFT entry, index entry allocation information, resident value update information($FILE_NAME, $STANDARD_INFORMATION, and INDEX_ALLOCATION attribute etc.).

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제2권2호
• /
• pp.93-102
• /
• 2013

최근 대부분의 범죄에 디지털 매체가 사용되면서 디지털 데이터는 필수 조사 대상이 되었다. 하지만 디지털 데이터는 비교적 쉽게 삭제 및 변조가 가능하다. 따라서 디지털 증거 획득을 위해 삭제된 데이터의 복구가 필요하며, 파일 카빙은 컴퓨터 포렌식 조사에서 증거를 획득할 수 있는 중요한 요소이다. 하지만 현재 사용되는 파일 카빙 도구들은 포렌식 조사를 위한 데이터의 선별을 고려하지 않고 있다. 또 기존의 파일 카빙 기법들은 파일의 일부 영역이 덮어써지거나 조각날 경우 복구가 불가능한 단점이 있다. 따라서 본 논문에서는 포렌식 조사시 유용한 정보를 획득할 수 있는 파일을 제안하고, 기존의 파일 카빙 기법보다 효과적으로 데이터를 복구할 수 있는 레코드 파일 카빙 기법을 제시한다.

• 융합보안논문지
• /
• 제10권2호
• /
• pp.1-9
• /
• 2010

Snort는 Sourcefire, Combining에 의해 개발된 signature, protocol and anomaly-based 탐지방식의 공개 침입탐지 및 침입방지 소프트웨어이다. Snort는 30만의 등록 가입자와 백만의 다운로드를 통해 세계에서 가장 널리 알려진 IDS/IPS 기술이다. Snort는 네트워크 상에서 패킷의 전송과정의 패킷을 검사하여 침입여부를 판별한다. 본 논문에서는 윈도우 환경에서 Snort를 활용한 Forensic 기법을 이용하여 디지털 문서 및 증거 자료에 분석방안을 제안한다. 순서는 Snort를 활용할 경우 Snort 기법과 Forensic 기법에 대해 알아보고 정보보호를 위한 윈도우 환경의 Snort 기법을 활용한 디지털 Forensic 기법 적용한 시스템을 설계해 보고자 한다. 이를 위해 IDS가 어떻게 작동하는지, Snort를 어디에 설치하는지, Snort의 요구사항, Snort의 설치방법, Snort의 사양을 윈도우 환경에서 적용 하므로서 침입탐지 방법을 제안하고 이를 Forensic 기법에 적용하는 모델을 제시하였다.

• 한국재난정보학회 논문집
• /
• 제13권2호
• /
• pp.267-275
• /
• 2017

본 연구는 재해현장에서 발생한 다양한 형태의 디지털 증거물을 채집 분석하는데 있어 디지털 포렌식 기법에 입각하여 효율적으로 재해 현장 디지털 데이터를 채증할 수 있는 e-Forensic 툴 개발에 관한 것이다. 현장에서 채집한 다양한 디지털 증거물이 법적 증거물로 채택되기 위해서는 디지털 증거물이 위변조가 없는 원본과 동일한 상태임을 입증해야만 하는데 이를 본 e-Forensic툴을 이용하여 검증하였다. 이 툴을 활용하면, 현장 수사 중 디지털 파일을 증거로 수집하는 경우에 현장에서 바로 해시값을 생성, 암호화된 디지털 파일에 부가함으로써 디지털 파일의 원본과 사본의 동일성을 보장하고 현장 증거의 무결성을 향상시킬 수 있는 효과가 있음을 증명하였다.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.135-144
• /
• 2014

디지털 포렌식 조사를 회피하기 위한 안티포렌식이 발전하고 있는 가운데, 안티포렌식 행위를 찾아내기 위한 포렌식 방법들 또한 다각도로 연구되고 있다. 사용자 행위분석을 위한 여러 요소 중 응용프로그램의 아이콘 정보를 저장하고 있는 IconCache.db 파일은 디지털 포렌식 조사를 위한 의미 있는 정보들을 제공하고 있다. 본 논문은 IconCache.db 파일의 특성을 알아보고 안티포렌식에 대응할 수 있는 활용방안을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제17권2호
• /
• pp.626-643
• /
• 2023

As mobile forensics has emerged as an essential technique, the demand for technology development, education and training is increasing, wherein images are used. Academic societies in South Korea and national institutions in the US and the UK are leading the Mobile Forensic Image development. However, compared with disks, images developed in a mobile environment are few cases and have less active research, causing a waste of time, money, and manpower. Mobile Forensic Images are also difficult to trust owing to insufficient verification processes. Additionally, in South Korea, there are legal issues involving the Telecommunications Business Act and the Act on the Protection and Use of Location Information. Therefore, in this study, we requested a review of a standard model for the development of Mobile Forensic Image from experts and designed an 11-step development model. The steps of the model are as follows: a. setting of design directions, b. scenario design, c. selection of analysis techniques, d. review of legal issues, e. creation of virtual information, f. configuring system settings, g. performing imaging as per scenarios, h. Developing a checklist, i. internal verification, j. external verification, and k. confirmation of validity. Finally, we identified the differences between the mobile and disk environments and discussed the institutional efforts of South Korea. This study will also provide a guideline for the development of professional quality verification and proficiency tests as well as technology and talent-nurturing tools. We propose a method that can be used as a guide to secure pan-national trust in forensic examiners and tools. We expect this study to strengthen the mobile forensics capabilities of forensic examiners and researchers. This research will be used for the verification and evaluation of individuals and institutions, contributing to national security, eventually.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1495-1502
• /
• 2015

차량용 블랙박스는 실시간으로 차량의 상태를 기록하는 중요한 데이터 처리 장치로 영상뿐만 아니라 충격량, 속도, 방향과 같은 비영상정보를 함께 저장한다. 비영상정보는 시각적으로 확인할 수 없는 다양한 정보를 담고 있어 차량의 사고 당시 환경과 차량의 상태를 파악하는데 중요한 근거로 활용된다. 그러나 영상정보 만을 다루는 일반적인 디지털 영상장치 포렌식 절차를 이용해 차량용 블랙박스 데이터를 분석을 진행하면 사건해결에 중요한 비영상정보를 활용할 수 없다. 본 논문에서 차량용 블랙박스의 모든 데이터를 추출하고 해석하여 사고 조사 환경에 활용할 수 있는 차량용 블랙박스의 디지털 포렌식 분석 절차를 제안한다. 또한 국내 시판중인 차량용 블랙박스를 선정하여 제시한 분석 절차를 이용하여 분석하였다.

• 한국정보통신학회논문지
• /
• 제18권4호
• /
• pp.779-789
• /
• 2014

국내외 여러 대학에서 디지털 포렌식 학부과정 및 대학원 과정을 운영하고 있는데 각각 다양한 특징의 교육과정을 구성하고 있다. 본 논문에서는 새로운 학과를 만들기 보다는 기존의 IT학과와 법학과의 학생들이 4학년 학부과정에서 서로 다른 분야의 학문을 습득하도록 하는 Cross-Layer 교육과정 구성과 운영방안을 제안하였다. 먼저 디지털 포렌식 요소기술을 분석하였고, 다음으로 국내외 전문인력을 양성하기 위한 교육과정 현황을 분석하였다. 그런 다음 디지털 포렌식 전문가가 갖추어야할 수준에 대해 알아보고 IT학과 디지털 포렌식 관련 교과목 분석을 거쳐 IT+법학 교육프로그램 구성을 제안하였고 더 나아가 융합교육의 수준을 보장할 수 있는 두 가지 탄력적 교육과정 운영방안을 제안하였다.

• 한국정보통신학회논문지
• /
• 제18권7호
• /
• pp.1495-1504
• /
• 2014

인터넷 뱅킹과 같은 부가서비스, 채팅 등과 같은 대화형 서비스를 이용하는 정보화 사회가 정착되었고, 더욱이 스마트기기를 이용한 서비스 사용이 급속하게 발전함에 따라 신규 보안기술 분야로 디지털 포렌식에 관한 연구가 활발히 진행되고 있다. 본 논문에서는 디지털 포렌식에 관한 기존의 연구를 체계적으로 분석하고 앞으로 정부의 ICT R&D 중장기 전략과 ICT 패러다임 변화를 반영하여 첨단 IT기술과 우리나라 법체제를 융합하는 체계적인 디지털 포렌식 표준정립을 위한 기술-정책적 통합프로세스 프레임워크를 제안한다.

• 한국항행학회논문지
• /
• 제17권3호
• /
• pp.325-331
• /
• 2013

소셜 네트워크 서비스는 사용자간의 통신수단 및 자신을 표현하는 하나의 수단으로 사용되면서 다양한 정보를 보유하고 있다. 이러한 정보들은 수사에 도움이 되는 유용한 증거로 사용 될 수 있다. 본 논문에서는 소셜 네트워크 서비스상에 있는 다양한 정보를 사건 수사에서 효율적으로 사용하기 위하여 소셜 네트워크 서비스를 이용하는 사용자의 스마트폰에 대한 모바일 디지털 포렌식 절차에 관한 연구를 진행하였다. 모바일 디지털 포렌식 절차 연구를 위하여 스마트폰에 저장되어 있는 소셜 네트워크 서비스 어플리케이션에 대한 DataBase 파일을 분석하여 사건 수사에 유용하게 사용할 수 있는 파일을 분류 하고 저장되어 있는 정보를 비교 분석하였다. 이를 통하여 본 논문에서는 소셜 네트워크 서비스 환경에서 사건 수사를 위한 적합한 모바일 디지털 포렌식 절차를 제안한다.