전자공학회논문지CI (Journal of the Institute of Electronics Engineers of Korea CI)

대한전자공학회 (The Institute of Electronics and Information Engineers)
권호 표지

NTFS 파일시스템의 $LogFile의 로그레코드에 연관된 컴퓨터 포렌식 대상 파일을 찾기 위한 방법

Method for Finding Related Object File for a Computer Forensics in a Log Record of $LogFile of NTFS File System

  • 조규상 (동양대학교 컴퓨터정보전학과)
  • Cho, Gyu-Sang (Dongyang Univ., Dept. of Computer Information Warfare)
  • 투고 : 2012.06.19
  • 심사 : 2012.07.04
  • 발행 : 2012.07.25
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

이 연구는 NTFS 파일시스템에서 디스크의 에러를 복구를 위해 사용하는 저널링 파일($LogFile)에 기록되어 있는 로그 레코드들을 컴퓨터포렌식에 활용하는 방법에 관한 것이다. $LogFile에는 파일 연산의 과정을 그대로 담고 있어서 포렌식의 관점에서는 증거의 보고이다. 그러나 이 구조는 완전하게 공개되어 있지 않아서 구조를 정확히 알고 있지 않다는 어려움이 있다. 이 연구에서는 로그레코드들 기록된 주소 영역에 대해서 역공학적 방법으로 주소 데이터의 구조를 명확히 밝히고 로그레코드마다 그에 관련된 대상 파일이 어떤 것인지 분석하여 포렌식 대상 파일을 식별하고 포렌식 정보를 취득에 활용한다.

The NTFS journaling file($LogFile) is used to keep the file system clean in the event of a system crash or power failure. The operation on files leaves large amounts of information in the $LogFile. Despite the importance of a journal file as a forensic evidence repository, its structure is not well documented. The researchers used reverse engineering in order to gain a better understanding of the log record structures of address parts, and utilized the address for identifying object files to gain forensic information.

키워드

참고문헌

  1. B. Carrier, File System Forensic Analysis, Addison-Wesley, pp. 340-341, 2005.
  2. Mark E. Russinovich and David A. Solomon, Windows Internls, Microsoft Press, Chapter 10, pp. 995-1000, 2006
  3. Pramada Singireddy, "Recoverability Support in NT File System(NTFS)", http://eas.asu.edu/ -cse532/
  4. K. Dreher, "NTFS", Master Thesis of Department of Information Technology Institute of Technology, Lund, Nov., Sweden, 1998.
  5. 조규상, "컴퓨터 포렌식을 위한 NTFS 저널 파일의 분석", 디지털 포렌식 연구, Vol. 3, No. 1, 2009, pp. 51-60.
  6. 조규상.김태한, "컴퓨터 포렌식에 사용하기 위한 NTFS $LogFile의 로그 레코드 데이터 구조 분석", ICS'2000 정보 및 제어심포지엄 논문집, 2010, pp. 230-231.
  7. 김태한.조규상, "NTFS $LoFile에서 상주 속성 파일의 컴퓨터 포렌식", ICS'2000정보및제어심포지엄논문집, 2010, pp. 69-70.
  8. 김태한.조규상, "NTFS 파일 시스템의 저널 파일을 이용한 파일 생성에 대한 디지털 포렌식 방법", 디지털산업정보학회 논문지, 6권2호, pp,107-118, 2010.
  9. Gyu-Sang Cho and M. Rogers, "Finding Forensic Information on Creating a Folder", Lecture Notes of the Institute for Computer Sciences, Social-Informatics and Telecommunications Engineering, LNICST (Proceedings of ICDF2C 2011), Springer, 2012
  10. Gyu-Sang Cho and M. Rogers, "A Computer Forensic Method for Detecting Timestamp Forgery in NTFS", Computer & Security. 2012. (예정)
  11. 김태한, "NTFS 파일 시스템에서 저널 파일의 역공학 분석 통한 컴퓨터 포렌식", 동양대학교 박사 학위논문, pp.26-29, 2010.
  12. Richard Russon and Yuval Fledel, NTFS Documentation, Chapter 3. NTFS files:$LogFile, pp. 38-42, http://linux-ntfs.sourceforge.net