• 제목/요약/키워드: live forensics

검색결과 11건 처리시간 0.021초

라이브 포렌식을 위한 윈도우즈 물리 메모리 분석 도구 (The Windows Physical Memory Dump Explorer for Live Forensics)

  • 한지성;이상진
    • 정보보호학회논문지
    • /
    • 제21권2호
    • /
    • pp.71-82
    • /
    • 2011
  • 라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈커널 객체 구조 설명 및 분석 방법을 설명한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 그 효과를 입증한다.

오픈소스 기반 드론 라이브 포렌식 도구를 활용하는 드론 포렌식 방법론 연구 (A Study On Optimized Drone Forensic Methodology Applied with Open Source Based Drone Live Forensic Tool)

  • 백세영;이상욱
    • 정보보호학회논문지
    • /
    • 제33권4호
    • /
    • pp.633-646
    • /
    • 2023
  • 무인이동체 드론의 수요가 증가함에 따라 안전사고의 위험성뿐만 아니라 불법 드론에 대한 보안 위협도 증가하고 있다. 드론 포렌식의 필요성을 인식한 국내외 기관에서는 드론 포렌식 방법론을 수립하기 위해 노력 중이다. 실용적인 무인이동체 포렌식 방법론을 수립하기 위해서는 필수 아티팩트 정의와 포렌식 도구에 관한 검증이 선행되어야 하고, 드론 포렌식의 경우 기체 활성 상태에서 추출 가능한 데이터가 존재하기 때문에 라이브 포렌식도 고려되어야 한다. 본 연구에서는 다양한 드론 기종을 포괄하는 드론 포렌식 방법론의 필요성을 설명하고, 오픈소스 드론 대상 라이브 포렌식 도구(LiPFo, Live-PX4-Forensic)을 활용한 실용적인 포렌식 방법론을 제안한다.

활성 포렌식 기술을 이용한 좀비 PC 탐지시스템 모델 (Detection System Model of Zombie PC using Live Forensics Techniques)

  • 홍준석;니오박;박원형
    • 한국전자거래학회지
    • /
    • 제17권3호
    • /
    • pp.117-128
    • /
    • 2012
  • 2009년에 발생한 7.7 DDoS(Distributed Denial of Service) 공격에 이어 2010년 3월 4일에도 주요 기관 사이트를 대상으로 대규모의 DDoS 공격이 발생 하였다. 악성코드 제작과 배포는 누구나 쉽게 좀비 PC를 양산할 수 있게 되고 DDoS 공격기법이 지능화 고도화되어 감에 따라서 DDoS 공격을 대응하는 보안담당자의 어려움은 점점 커져가고 있다. 정상 PC에서 좀비 PC로 감염되어 호스트에서 발생하는 변조내용을 분석하여 활성 포렌식 기술로 점검해야 하는 항목이 무엇인지 연구한다. 본 논문에서는 PC 보안관제시스템 구축 및 운영 방안에 대하여 다루었으므로 해당 시스템을 도입하려는 기업에게 좋은 기준서로 활용될 수 있다.

클라우드 환경에서 수사 실무와 법적 과제 (Practical and Legal Challenges of Cloud Investigations)

  • 조슈아 제임스;장윤식
    • 한국인터넷방송통신학회논문지
    • /
    • 제14권6호
    • /
    • pp.33-39
    • /
    • 2014
  • 클라우드 컴퓨팅 서비스의 확산으로 범죄수사를 위한 증거수집의 관점에서 불확실성으로 인한 다양한 실무적이고 법적인 문제가 제기되고 있다. 이 논문은 클라우드 환경에 대한 일반적인 수사상의 논점을 개관하고, 관할과 국제공조를 비롯한 문제점을 진단한다. 실무적으로 직접적으로 수사관이 접속하는 경우와 서비스제공자의 협조를 받는 경우의 장단점을 비교하여 실무적 개선방안을 논의하고 이에 따른 관할의 중복과 서비스 약정 및 포렌식적으로 무결한 데이터 수집 등 법률적 쟁점을 정리한다.

MFT 분석기술을 이용한 Alternate Data Stream 탐지 기법 (Alternate Data Stream Detection Method Using MFT Analysis Module on NTFS)

  • 김요식;류재철;박상서
    • 융합보안논문지
    • /
    • 제7권3호
    • /
    • pp.95-100
    • /
    • 2007
  • NTFS의 ADS는 매킨토시의 계층적 파일 시스템과의 호환을 위해 개발되었으나 최근에는 악의적 사용자들에 의해 악성코드 또는 안티 포렌식 목적의 데이터 은닉 용도로 활용되고 있다. 은닉된 ADS의 존재여부를 파악하고 정보를 추출하는 것은 컴퓨터 포렌식 분야에서 중요한 요소이다. 본 논문에서는 NTFS의 MFT정보를 이용하여 ADS를 탐지하기 위한 방법을 제안하였다. 이 방법을 구현하여 비교?실험한 결과, 기존의 방법에 비해 검색속도와 탐지건수 면에서 우수함을 확인하였다. 이 방법을 이용하면 운영체제에서 사용중인 파일도 검사할 수 있으며, 라이브 시스템뿐 아니라 이미지에 대해서도 탐지가 가능해 포렌식 목적에 부합된다.

  • PDF

윈도우 활성 시스템상의 디지털 증거 수집 도구 설계 및 구현 (Design and Implementation of Forensic Tool on Window Live System)

  • 백은주;성진원;임경수;이상진
    • 융합보안논문지
    • /
    • 제7권2호
    • /
    • pp.91-100
    • /
    • 2007
  • 포렌식 수사에 있어서 많은 포렌식 도구들이 수사에 사용되고 있지만 기존의 포렌식 도구는 일반 수사관이 사용하기에 불편하다는 단점이 있다. 정보 유출과 관련하여 긴급히 증거를 수집해야 할 상황에서 데이터를 수집해 증거로 활용할 수 있게 만들 때까지는 시간이 걸린다. 따라서 일반 수사관이 간단한 클릭만으로도 증거를 수집하고 또한 심층 수사로 갈 것인지를 판별할 수 있는 사전 조사격의 포렌식 도구가 필요하다. 따라서 본 고에서는 활성 시스템에서 수집할 수 있는 증거에 대해 알아보고 사전 조사에 사용할 수 있고 일반 수사관이 다루기 쉬운 포렌식툴을 설계 및 구현하고자 한다.

  • PDF

활성 상태의 NAS 시스템 상에서 내부 데이터 수집 기법 연구 (The Method for Data Acquisition on a Live NAS System)

  • 서형민;김도현;이상진
    • 정보보호학회논문지
    • /
    • 제25권3호
    • /
    • pp.585-594
    • /
    • 2015
  • 최근 데이터의 대용량화로 인해 스토리지 시장이 커짐에 따라 디지털 포렌식 관점에서 클라우드 및 USB, 외장 하드와 같은 저장 매체에 대한 연구가 꾸준히 진행되고 있다. 하지만 TB 단위 이상의 대용량 데이터 저장이 가능하며 기업용 저장 장치 뿐만 아니라 개인용 저장 장치로도 많이 사용되고 있는 NAS에 대한 연구는 부족한 실정이다. 본 논문에서는 NAS 제품 중 국내의 시장에서 점유율이 높은 소형 NAS 두 개, 대형 NAS에서 한 개의 제품을 선정하여 활성상태의 NAS에서 내부 데이터 수집을 위한 디지털 포렌식 조사 절차와 기법을 제안한다.

Mac OS X 물리 메모리 분석에 관한 연구 (Research on Mac OS X Physical Memory Analysis)

  • 이경식;이상진
    • 정보보호학회논문지
    • /
    • 제21권4호
    • /
    • pp.89-100
    • /
    • 2011
  • 그간 디지털 포렌식의 활성 시스템 분석 분야의 한 화두는 물리 메모리 이미지 분석이었다. 물리 메모리 분석은 프로세스를 은닉을 하더라도 그 데이터를 물리 메모리에서 확인할 수 있고 메모리에 존재하는 사용자의 행위를 발견할 수 있어 분석 결과의 신뢰성을 높이는 등 디지털 포렌식 분석에 큰 도움이 되고 있다. 하지만 메모리 분석 기술 대부분이 윈도우 운영체제 환경에 초점이 맞추어져 있다. 이는 분석 대상의 다양성을 고려하였을 때 타 운영체제에 대한 메모리 분석이 필요하게 되었음을 의미한다. Mac OS X는 윈도우에 이어 두 번째로 높은 점유율을 가진 운영체제로 부팅 시 커널 이미지를 물리 메모리에 로딩하면서 운영체제가 구동하고 주요 정보를 커널이 관리한다. 본 논문은 Mac OS X의 커널 이미지가 저장하고 있는 심볼 정보를 이용한 물리 메모리 분석 방법을 제안하고, 제안한 내용을 토대로 물리 메모리 이미지에서 프로세스 정보와 마운트된 장치 정보, 커널 버전 정보, 외부 커널 모듈정보(KEXT)와 시스템 콜 목록 정보의 추출 방법을 보인다. 추가적으로 사례 분석을 통해 물리 메모리 분석의 효용성을 입증한다.

일반화 능력이 향상된 CNN 기반 위조 영상 식별 (CNN-Based Fake Image Identification with Improved Generalization)

  • 이정한;박한훈
    • 한국멀티미디어학회논문지
    • /
    • 제24권12호
    • /
    • pp.1624-1631
    • /
    • 2021
  • With the continued development of image processing technology, we live in a time when it is difficult to visually discriminate processed (or tampered) images from real images. However, as the risk of fake images being misused for crime increases, the importance of image forensic science for identifying fake images is emerging. Currently, various deep learning-based identifiers have been studied, but there are still many problems to be used in real situations. Due to the inherent characteristics of deep learning that strongly relies on given training data, it is very vulnerable to evaluating data that has never been viewed. Therefore, we try to find a way to improve generalization ability of deep learning-based fake image identifiers. First, images with various contents were added to the training dataset to resolve the over-fitting problem that the identifier can only classify real and fake images with specific contents but fails for those with other contents. Next, color spaces other than RGB were exploited. That is, fake image identification was attempted on color spaces not considered when creating fake images, such as HSV and YCbCr. Finally, dropout, which is commonly used for generalization of neural networks, was used. Through experimental results, it has been confirmed that the color space conversion to HSV is the best solution and its combination with the approach of increasing the training dataset significantly can greatly improve the accuracy and generalization ability of deep learning-based identifiers in identifying fake images that have never been seen before.

라이브 포렌식을 통한 디지털 증거 수집 구현 (Implementation of Digital Evidence Collection through Live Forensics)

  • 이원희;이지훈;안채혁;우수민;신상욱
    • 한국정보처리학회:학술대회논문집
    • /
    • 한국정보처리학회 2023년도 추계학술발표대회
    • /
    • pp.188-189
    • /
    • 2023
  • 본 연구는 사용자가 USB에 내장된 스크립트를 실행하여 실시간으로 활성 및 비활성 데이터를 수집하는 라이브 포렌식 도구의 개발에 관한 것이다. 이 도구는 컴퓨터에 USB를 삽입하고 특정 스크립트를 실행하여 중요한 디지털 증거물을 추출하고 분석하는 기능을 제공한다. 도구는 Linux와 Windows 운영 체제용 32비트 및 64비트 버전으로 제작되었으며, 대량의 데이터 처리 시간과 저장 공간 문제를 해결하여 필요한 특정 데이터만 신속하게 추출할 수 있는 효율적인 방법을 제공한다. 이 도구는 활성 데이터와 비활성 데이터를 수집하며, 활성 데이터에는 레지스터, 네트워크 정보, 프로세스 정보, 사용자 정보 등이 포함되며, 비활성 데이터에는 메타데이터, 시스템 설정 정보, 로그 파일 등이 포함된다. 이 연구에서는 라이브 포렌식 도구의 사용 방법과 수집된 결과, 데이터 분석 방법, 그로 인한 보안 이점에 대해 다루고 있다.