• 융합보안논문지
• /
• 제20권5호
• /
• pp.27-32
• /
• 2020

Windows Event Log에는 시스템의 전반적인 동작들을 정의하고 있는 Log이며, 해당 파일에는 사용자의 여러 행위 및 이상 징후를 탐지할 수 있는 데이터가 저장되어 있다. 하지만 행위마다 Event Log가 발생함으로써, 로그들을 분석할 때, 상당한 시간이 소요된다. 따라서 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 바탕으로 XML 기반한 Event Log 분석 도구를 설계 및 구현 하였다.

• 한국정보통신학회논문지
• /
• 제20권4호
• /
• pp.777-785
• /
• 2016

IM(Instant Messenger)의 채팅메시지는 이용자의 생활패턴, 지리적 위치, 심리 상태, 범죄 사실에 대한 흔적들이 존재하여 포렌식 분석이 필요하다. 하지만, KakaoTalk의 포렌식 분석은 주고받은 상세메시지에 대한 분석이 부족한 실정이다. 이에 본 논문은 우선 일반적인 IM 채팅메시지의 분석방법론을 정리 분석하였고, KakaoTalk의 상세 채팅메시지의 테이블 구조를 분석하여 메시지를 재구성하였고, 채팅메시지를 복원하였다. 그 결과 분석한 정보를 활용하면 Forensic Tool의 기본 플랫폼이 된다. 추가적으로 분석한 KakaoTalk과 WhatsApp을 비교 분석하여 비슷한 IM App이지만, 다른 흔적의 차이를 논의하였다.

• 정보보호학회논문지
• /
• 제31권3호
• /
• pp.353-363
• /
• 2021

언택트(Untact) 시대로의 급속한 변화 속에서 협업 툴(Collaboration Tool)은 비대면 업무를 위한 디지털 솔루션으로써 그 활용도와 가치가 증대되고 있다. 협업 툴은 다양한 기능을 지원하는 한편, 그 편의성에 비례하여 정보 유출, 보안사고 등 디지털 범죄 및 사고우려 또한 내재되어 있어 디지털 포렌식 관점에서의 연구가 필요하다. 본 연구에서는 세계적으로 점유율이 가장 높은 협업 툴 Microsoft Teams에 대한 윈도우즈 및 안드로이드 포렌식 연구를 통해 주요 사용자 행위를 정의하고 각 행위들을 수행한 뒤 의미 있는 아티팩트가 존재하는지 확인하였다. 이후 각 운영환경에서 획득 가능한 아티팩트를 비교·분석하고 여기에서의 차이점을 바탕으로 한 차분 포렌식(differential forensic)을 통해 협업 툴 분석기법 및 수사 시나리오 등 활용 방안을 제시하였다.

• 정보보호학회논문지
• /
• 제34권1호
• /
• pp.103-114
• /
• 2024

드론 범죄가 지속적으로 증가하고 있는 상황에서 드론에 대한 사고 예방 및 대응을 위한 드론 포렌식 연구가 매우 중요해지고 있다. 불법적인 범죄 행위를 수사하기 위해서는 드론 내부 저장소에 생성되는 비행기록 파일에 대한 포렌식 분석이 필수적이다. 하지만 독점 DUML 프로토콜로 생성되는 비행기록 파일을 분석하기 위해서는 프로토콜의 구조와 특징에 대한 개념이 반드시 필요하며 암호화되는 Payload에 대응하고 다양한 드론 모델에 대한 분석이 가능한 포렌식 분석 도구가 필요하다. 따라서 본 연구를 통해 먼저 드론에서 생성되는 비행기록 파일의 획득 방법과 특징을 제시하고 비행기록 파일을 이루고 있는 구조와 DUML 패킷의 특징을 설명한다. 최종적으로 제시한 DUML 패킷의 구조에 따른 포렌식 분석을 수행하고 기존 도구보다 범용적으로 동작하며 확장된 구문 분석을 수행하는 확장 포렌식 분석 시스템을 제안한다.

• 분석과학
• /
• 제29권1호
• /
• pp.43-48
• /
• 2016

법과학 분야에서 다양한 Y-STR 분석 키트가 개발되어 사용되고 있고, 새로운 키트의 법과학적 적용에 앞서 DNA 감정에 적절한 분석 키트들의 선정과 표준작업절차서의 작성을 위해 실험실 내의 내부적 유효성 검증 및 민감도 시험은 필수적인 과정이다. 본 논문에서는 새로운 상업용 키트인 Yfiler^® PLUS PCR Amplification Kit (Yfiler plus 키트, 2014년 출시)를 AmpF/STR^® Yfiler^TM PCR Amplification Kit (Yfiler 키트, 2004년 출시)와 비교함으로써 민감도에 대한 연구를 수행하였다. Yfiler plus 키트는 Yfiler 키트의 17 개 Y-STR 좌위를 포함하면서 새로운 10 개의 Y-STR 좌위가 추가되었다. 먼저, 표준 DNA 시료인 2800M, 007을 이용하여 두 키트 간의 민감도 차이를 분석하였고, 선별된 0.5 ng 미만의 법과학 현장시료 16 개로부터 검출률을 비교하였다. 그 결과, Yfiler 키트보다 Yfiler plus 키트가 높은 민감도와 검출률을 보였고, 더 많은 좌위에서 Y-STR 프로필을 얻을 수 있었다. 이러한 결과들로부터 낮은 농도의 법과학 현장시료에서 Yfiler plus 키트가 Y-STR 프로필을 검출하는데 더욱 효과적인 분석키트임이 확인되었다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.71-82
• /
• 2011

라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈커널 객체 구조 설명 및 분석 방법을 설명한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 그 효과를 입증한다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제5권5호
• /
• pp.117-126
• /
• 2016

최근 빅 데이터나 소셜 네트워크 서비스의 활용도가 증가하면서 기존 관계형 데이터베이스의 한계를 극복한 NoSQL 데이터베이스의 수요가 꾸준히 증가하고 있다. 디지털 포렌식 관점에서 관계형 데이터베이스의 디지털 포렌식 조사 기법은 꾸준히 연구되어 왔으나 NoSQL 데이터베이스의 디지털 포렌식 조사 기법에 대한 연구는 거의 없는 실정이다. 본 논문에서는 메모리 기반의 Key-Value Store NoSQL 데이터베이스인 Redis를 소개하고 디지털 포렌식 관점에서 살펴보아야 할 아티팩트의 수집과 분석, 삭제된 데이터 복구 기법을 제안한다. 또한 제안된 데이터 복구 기법을 도구로 구현하여 복구 기법을 검증한다.

• 대한의생명과학회지
• /
• 제16권3호
• /
• pp.193-196
• /
• 2010

Multiplex PCR-based short tandem repeat (STR) analysis is considered as a good tool for monitoring bone marrow engraftment after sex-mismatched allogeneic transplantation and provides a sensitive and accurate assessment of the contribution of both donor and/or recipient cells in post-transplantation specimens. Forensic STR analysis and quantitative real time PCR are used to determine the proportion of donor versus recipient each contained within the total DNA. The STR markers were co-amplified in a single reaction by using commercial $PowerPlex^{(R)}$ 16 system and $AmpFISTR^{(R)}$ $Identifiler^{(R)}$ / $Yfiler^{(R)}$ PCR amplification kits. Separation of the PCR products and fluorescence detection were performed by ABI $PRIS^{(R)}$ 3100 Genetic Analyzer with capillary electrophoresis. The $GeneMapper^{TM}$ ID software were used for size calling and analysis of STR profiles. Extracted DNA was quantified by the $Quantifiler^{TM}$ Human DNA / Y Human Male DNA Quantification Kit The intent of this study was to analyze the ratio of donor versus recipient cells in the post-transplant peripheral blood, spleen, lung and kidney specimens. Specimens were taken from the traffic accident male victim who had been engrafted from bone marrow female donor. Blood and spleen specimens displayed female donor DNA profile. Kidney specimen showed male recipient DNA profile. Interestingly, lung tissue showed mixed profiles. The findings of this study indicate that the forensic STR analysis using fluorescence labeling PCR combined with capillary electrophoresis is quick and reliable enough to assess the ratio of donor versus recipient cells and to monitor the mixed chimeric patterns.

• International Journal of Internet, Broadcasting and Communication
• /
• 제14권1호
• /
• pp.10-18
• /
• 2022

Since High Sierra, APFS has been used as the main file system. It is a well-established file system that has been used stably thus far. From the perspective of digital forensics, there are still many areas to be investigated. Apple File System Reference is provided to the apple developer site, but it is not satisfactory to fully analyze APFS. Researchers know more about the structure of APFS than before, but they have not yet fully analyzed its structure to a perfect level about it. In this paper, we develop APFS object identification tool for digital forensics. The most basic and essential object identification and analysis of the APFS filesystem will be conducted with the tool. The analysis in this study serves as the background for an analysis of the checkpoint operation principle and structure, including the more complex B-tree structure of APFS. There are several options for the developed tool, but the results of two use cases will be shown here. Based on the implemented tool, it is hoped that more functions will be added to make APFS a useful tool for faster and more accurate analyses.

• International journal of advanced smart convergence
• /
• 제13권3호
• /
• pp.150-155
• /
• 2024

Genomic data plays a transformative role in medicine, biology, and forensic science, offering insights that drive advancements in clinical diagnosis, personalized medicine, and crime scene investigation. Despite its potential, the integration and analysis of diverse genomic datasets remain challenging due to compatibility issues and the specialized nature of existing tools. This paper presents the GenomeSync system, designed to overcome these limitations by utilizing the Hadoop framework for large-scale data handling and integration. GenomeSync enhances data accessibility and analysis through SQL-based search capabilities and machine learning techniques, facilitating the identification of genetic traits and the resolution of forensic cases. By pre-processing DNA profiles from crime scenes, the system calculates similarity scores to identify and aggregate related genomic data, enabling accurate prediction models and personalized treatment recommendations. GenomeSync offers greater flexibility and scalability, supporting complex analytical needs across industries. Its robust cloud-based infrastructure ensures data integrity and high performance, positioning GenomeSync as a crucial tool for reliable, data-driven decision-making in the genomic era.