• International Journal of Internet, Broadcasting and Communication
• /
• 제13권3호
• /
• pp.178-192
• /
• 2021

File system forensics typically focus on the contents or timestamps of a file, and it is common to work around file/directory centers. But to recover a deleted file on the disk or use a carving technique to find and connect partial missing content, the evidence must be analyzed using cluster-centered analysis. Forensics tools such as EnCase, TSK, and X-ways, provide a basic ability to get information about disk clusters, but these are not the core functions of the tools. Alternatively, Sysinternals' DiskView tool provides a more intuitive visualization function, which makes it easier to obtain information around disk clusters. In addition, most current tools are for Windows. There are very few forensic analysis tools for MacOS, and furthermore, cluster analysis tools are very rare. In this paper, we developed a tool named FACT (Forensic Analyzer based Cluster Information Tool) for analyzing the state of clusters in a HFS+ file system, for digital forensics. The FACT consists of three features, a Cluster based analysis, B-tree based analysis, and Directory based analysis. The Cluster based analysis is the main feature, and was basically developed for cluster analysis. The FACT tool's cluster visualization feature plays a central role. The FACT tool was programmed in two programming languages, C/C++ and Python. The core part for analyzing the HFS+ filesystem was programmed in C/C++ and the visualization part is implemented using the Python Tkinter library. The features in this study will evolve into key forensics tools for use in MacOS, and by providing additional GUI capabilities can be very important for cluster-centric forensics analysis.

• 정보보호학회논문지
• /
• 제29권6호
• /
• pp.1351-1364
• /
• 2019

SCADA가 사이버 위협과 공격에 노출될 경우 사회 곳곳에서 심각한 재해가 발생될 수 있다. 초기의 SCADA 시스템은 설계 시 보안 위협에 대한 고려가 이루어지지 않아 보안 취약성이 높고, 더 큰 문제는 가용성 등의 문제로 즉시성 있는 취약점 패치가 어려운 실정이다. 증가하는 사이버 위협에 신속하게 대응하고 침해사고 예방 및 방지를 위해 SCADA 시스템 보안에 디지털포렌식 절차와 기술이 활용되어야 한다. 본 논문에서는 효과적인 SCADA 포렌식 조사를 위한 연구 방향을 설정하기 위해 SCADA 시스템을 대상으로 디지털포렌식 연구 동향을 살펴보고, 더불어 SCADA 포렌식 대상 및 필요 기술의 분류를 시도하였다. 그 결과, 절차와 방법론에 대해서는 전통적인 디지털포렌식을 크게 벗어나는 연구 결과를 찾지 못했다. 다만, SCADA 시스템만이 가지는 특성을 반영한 접근방법이나 전용 도구를 개발해야 한다는 주장은 의미가 크다. 분석기술에 대해서는 주로 PLC와 전용 네트워크 프로토콜에 대한 취약점 분석에 관한 연구가 주를 이루었다. 이는 SCADA를 대상으로 하는 사이버 위협과 공격이 주로 PLC이거나, 전용 네트워크 프로토콜에 대한 위협이 많았기 때문으로 이해되므로 앞으로도 관련 연구가 지속할 경향으로 보인다. 그러나 조사절차와 분석기법 전반에 걸쳐 SCADA 시스템에서 획득한 증거의 보존이나 무결성과 같은 증거능력에 대한 논의는 거의 이루어지지 않아 아쉬운 부분이다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제6권8호
• /
• pp.1926-1945
• /
• 2012

In this paper, two practical forensics aided steganalyzers (FA-steganalyzer) for heterogeneous bitmap images are constructed, which can properly handle steganalysis problems for mixed image sources consisting of raw uncompressed images and JPEG decompressed images with different quality factors. The first FA-steganalyzer consists of a JPEG decompressed image identifier followed by two corresponding steganalyzers, one of which is used to deal with uncompressed images and the other is used for mixed JPEG decompressed images with different quality factors. In the second FA-steganalyzer scheme, we further estimate the quality factors for JPEG decompressed images, and then steganalyzers trained on the corresponding quality factors are used. Extensive experimental results show that the proposed two FA-steganalyzers outperform the existing steganalyzer that is trained on a mixed dataset. Additionally, in our proposed FA-steganalyzer scheme, we can select the steganalysis methods specially designed for raw uncompressed images and JPEG decompressed images respectively, which can achieve much more reliable detection accuracy than adopting the identical steganalysis method regardless of the type of cover source.

• 정보처리학회논문지C
• /
• 제17C권5호
• /
• pp.391-398
• /
• 2010

대부분의 디지털 포렌식 관련 도구들은 저장매체의 할당된 영역에 존재하는 파일을 분석하는데 초점을 맞추고 있기 때문에 용의자가 의도적으로 삭제하거나 이전에 사용되었던 파일들을 복구하는 기능이 부족하다. 따라서 삭제된 파일을 효과적으로 분석하기 위해서는 데이터 복구도구로 얻은 결과물을 다시 디지털 포렌식 도구로 분석해야한다. 이러한 작업은 사건을 빠르고 효과적으로 대응하거나 데이터의 무결성을 보존하는데 적절하지 않다. 따라서 본 논문에서는 기존 디지털 포렌식 관련 도구들의 한계점을 벗어나 디지털 포렌식 관점에서 데이터 복구 및 분석 도구를 통합 구현하기 위한 프레임워크를 제시하고 구현하였다.

• 정보보호학회논문지
• /
• 제23권2호
• /
• pp.273-277
• /
• 2013

디지털 방식으로 생산 저장되는 기록들이 급증함에 따라 이러한 디지털 기록들을 수집 보존 관리하는데 있어 신뢰성 및 무결성을 유지하고 이를 통해 법적 증거로써의 가치를 보장하는 것이 중요한 이슈가 되었다. 본 논문에서는 국내 형사 소송법 및 기록관리 법령을 토대로 현재 국가기록원에서 관리하고 있는 전자기록물의 사법적 증거능력에 대해 고찰하고 이에 대한 문제점을 도출하였다. 또한 본 논문에서 도출된 문제점을 해결하기 위해 디지털 포렌식(Digital Forensics) 절차 적용 및 해시값 활용 방안을 제시한다.

• 정보보호학회논문지
• /
• 제23권6호
• /
• pp.1057-1067
• /
• 2013

최근 모바일 시장에는 스마트폰의 점유율이 점차 높아지고 다양한 운영체제를 기반으로 하는 스마트 기기와 애플리케이션이 출시되고 있다. 이러한 현실에서 디지털 포렌식 조사에 있어서 스마트 기기 분석의 중요성이 많이 대두되고 있으며, 사용자 행위를 분석하기 위해 기기에서 사용자 데이터를 추출할 때 데이터의 훼손을 최소화하는 것이 가장 중요하다. 본 논문에서는 안드로이드 운영체제 및 iOS 기반 기기에 다양한 루트 권한 획득방법을 적용한 후 추출된 데이터 이미지를 대상으로 파일시스템 영역별 변경되는 부분을 비교 분석하고, 결과적으로 디지털 포렌식 관점에서 가장 효율적인 루트 권한 획득방법을 제안한다.

• Nuclear Engineering and Technology
• /
• 제51권2호
• /
• pp.384-393
• /
• 2019

An experimental validation of a nuclear forensics methodology for the source reactor-type discrimination of separated weapons-useable plutonium is presented. The methodology uses measured values of intra-element isotope ratios of plutonium and fission product contaminants. MCNP radiation transport codes were used for various reactor core modeling and fuel burnup simulations. A reactor-dependent library of intra-element isotope ratio values as a function of burnup and time since irradiation was created from the simulation results. The experimental validation of the methodology was achieved by performing two low-burnup experimental irradiations, resulting in distinct fuel samples containing sub-milligram quantities of weapons-useable plutonium. The irradiated samples were subjected to gamma and mass spectrometry to measure several intra-element isotope ratios. For each reactor in the library, a maximum likelihood calculation was utilized to compare the measured and simulated intra-element isotope ratio values, producing a likelihood value which is proportional to the probability of observing the measured ratio values, given a particular reactor in the library. The measured intra-element isotope ratio values of both irradiated samples and its comparison with the simulation predictions using maximum likelihood analyses are presented. The analyses validate the nuclear forensics methodology developed.

• 정보보호학회논문지
• /
• 제26권1호
• /
• pp.135-152
• /
• 2016

모바일 포렌식은 스마트폰의 대중화와 다양한 모바일 기기의 증가로 인해 그 중요성 및 필요성이 급격히 증가하고 있다. 하지만 그 방안 및 절차는 아직 모바일 포렌식의 특성에 충분히 맞게 적용되고 있지 않다. 이에 따라 본 논문에서는 현재 모바일 포렌식이 직면한 문제점을 파악하기 위해 법 제도 기술적 관점에서의 분석을 수행하였으며 이를 통해 모바일 기기에 대해서는 현재 디지털 포렌식 수사과정에서 큰 이슈가 되고 있는 선별압수에 있어서 제약사항이 있음을 확인하였다. 또한 모바일 포렌식에서 디지털 증거 수집 방안에 대한 분석 및 실사용 도구의 무결성 연구를 진행함으로써 현재 기술의 적합성 검증 및 추후 발생될 문제점에 대해 분석하였으며 결과적으로 모바일 포렌식에서 수집된 데이터가 증거능력을 확보할 수 있는 방안을 위해 전반적인 고려사항을 제시하였다.

• 한국정보통신학회논문지
• /
• 제17권2호
• /
• pp.323-331
• /
• 2013

휴대폰에서 포렌식 증거 자료를 추출하는 방법은 SYN, JTAG, Revolving 3가지 방법이 있다. 하지만 휴대폰과 스마트폰의 기술과 사용방법의 차이로 인하여, 포렌식 증거 자료를 추출하는 방법도 달라야 한다. 따라서 본 논문에서는 압수 수색된 스마트폰에서의 포렌식 증거 자료의 추출 방법을 연구하고자 한다. 압수 수색된 스마트폰에서 많이 사용되는 구글 안드로이드와 윈도우모바일 스마트폰의 분석을 위하여 스마트폰의 사양과 운영체제, 백업 분석, 증거 자료를 분석 한다. 또한 구글 안드로이드와 윈도우모바일 스마트폰의 전화번호부, SMS, 사진, 동영상에 관한 포렌식 증거 자료를 추출하여 법적인 증거자료와 포렌식 보고서를 생성한다. 본 논문에서 실험된 스마트폰 포렌식 기술 연구는 모바일 포렌식 기술 발전에 기여할 것이다.

• 디지털포렌식연구
• /
• 제12권3호
• /
• pp.39-54
• /
• 2018

최근 불법촬영 사건 근절을 위한 논의가 사회 각 분야에서 이루어지고 있다. 수사기관과 정부 관계부처에서도 불법촬영과 같은 사이버 성폭력 범죄 근절을 위한 종합대책을 수립하고, 핵심과제를 선정하여 추진하고 있다. 학계에서도 사이버 성폭력 처벌법을 정비해서라도 범죄자들에 대한 처벌을 강화해야 한다는 연구를 발표하고 있다. 이렇듯 불법촬영 사건에 대한 사회적인 관심이 높아지고 있으나, 현장수사관과 전문분석관은 불법촬영물 은닉 어플리케이션(앱)들이 마켓과 커뮤니티 사이트를 중심으로 끊임없이 유포되고 있어 증거 수집과 분석에 많은 어려움을 겪고 있는 실정이다. 본 논문은 폭발적으로 늘어나고 있는 불법촬영 사건 수사에 실질적인 도움을 주기 위해 불법촬영 사건의 증거 수집 및 분석 프레임워크를 제안하였다. 또한 증거 수집 및 분석에 있어, 주요 방해 요인 중 하나인 무음 및 은닉앱을 탐지할 수 있는 시스템을 제안하였다. 탐지 시스템의 실효성을 평가하기 위해 탐지 도구를 함께 개발하였으며, 상용 은닉앱을 사용해 탐지 시스템의 실효성과 확장 가능성을 확인하였다.