한국정보전자통신기술학회논문지 (The Journal of Korea Institute of Information, Electronics, and Communication Technology)

  • 제8권4호
  • /
  • Pages.327-337
  • /
  • 2015
  • /
  • 2005-081X(pISSN)
  • /
  • 2288-9302(eISSN)
한국정보전자통신기술학회 (Korea Information Electronic Communication Technology)
권호 표지
DOI QR코드

DOI QR Code

새로운 NTFS 디렉토리 인덱스 안티포렌식 기법

A New NTFS Anti-Forensic Technique for NTFS Index Entry

  • Cho, Gyu-Sang (Department of Computer Information, Dongyang University)
  • 투고 : 2015.08.03
  • 심사 : 2015.08.13
  • 발행 : 2015.08.30
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

이 논문에서는 윈도우즈 NTFS 파일시스템에서 디렉토리의 인덱스에 메시지를 숨기기 위한 새로운 안티 포렌식 방법을 제안한다. 인덱스 엔트리 관리를 위하여 채택하고 있는 B-tree 구조의 특징을 이용하여 인덱스 레코드의 슬랙 영역에 숨길 메시지를 저장한다. 안티포렌식을 위해 숨길 메시지가 노출되지 않게 하기 위해 서 위장 파일을 사용하여 삭제된 파일이름의 정보가 MFT 엔트리에 남지 않도록 한다. 이 기법의 핵심 아이디어 의 이해하기 위해서 B-tree방식의 인덱스 레코드의 운영방법을 소개하고 이 연구에서 제안된 알고리즘을 설명 한다. 제작된 소프트웨어를 사용한 메시지를 숨긴 사례를 들어서 이 방법이 실질적인 기법이라는 것을 보인다.

This work provides new forensic techinque to a hide message on a directory index in Windows NTFS file system. Behavior characteristics of B-tree, which is apoted to manage an index entry, is utilized for hiding message in slack space of an index record. For hidden message not to be exposured, we use a disguised file in order not to be left in a file name attribute of a MFT entry. To understand of key idea of the proposed technique, we describe B-tree indexing method and the proposed of this work. We show the proposed technique is practical for anti-forensic usage with a real message hiding case using a developed software tool.

키워드

참고문헌

  1. Wikipedia.org, "NTFS-Features-Scalability", http://en.wikipedia.org/wiki/NTFS#Features
  2. Microsoft TechNet, "NTFS Technical Reference",https://technet.microsoft.com/en-us/library/cc758691(v=ws.10).aspx.
  3. B. Carrier, File System Forensic Analysis, Addison-Wesley, 2005, pp. 273-396.
  4. Wikipedia, "B-tree", http://en.wikipedia.org/wiki/B-tree.
  5. William Ballenthin,"NTFS INDX Attribute Parsing", http://www.williballenthin.com/forensics/indx/index.html.
  6. Chad Tilbury, "NTFS $I30 Index Attributes: Evidence of Deleted and Overwritten Files", SANS Digital Forensics and Incident Response Blog, http://digital-forensics.sans.org.
  7. Sameer H. Mahant and B. B. Meshram, "NTFS Deleted Files Recovery: Forensics View", IRACST(-International Journal of Computer Science and Information Technology & Security (IJCSITS), Vol. 2, pp. 491-497, No.3, 2012.
  8. Ewa Huebner, Derek Bem and Cheong Kai Wee, "Data hiding in the NTFS file system", Digital Investigation, Vol. 3, Issue 4, pp. 211-226, 2006 https://doi.org/10.1016/j.diin.2006.10.005
  9. Christopher Lees, "Determining removal of forensic artefacts using the USN change journalOriginal", Digital Investigation, Vol. 10, Issue 4, pp. 300-310, 2013. https://doi.org/10.1016/j.diin.2013.10.002
  10. G.-S. Cho, "A computer forensic method for detecting timestamp forgery in NTFS", Computers & Security, Vol. 34, pp. 36-46, 2013. https://doi.org/10.1016/j.cose.2012.11.003
  11. Gyu-Sang Cho, A Digital Forensic Method by an Evaluation Function Based on Timestamp Changing Patterns. (2014), Journal of KSDIM(ISSN:1738-6667), Vol. 10, No. 2, pp. 91-105.
  12. G.-S. Cho, "NTFS Directory Index Analysis for Computer Forensics", Proceedings of IMIS 2015, Blumenau Brazil, July 2015.
  13. Gyu-Sang Cho, A Digital Forensic Analysis for Directory in Windows File System. (2015), Journal of KSDIM(ISSN:1738-6667), Vol. 11, No. 2, pp. 73-89.
  14. Microsoft MSDN, "Naming Files, Paths, and Namespace-Short vs. Long Names", http://msdn.microsoft.com.
  15. Microsoft TechNet, Fsutil behavior, "https://technet.microsoft.com/en-us/library/cc785435.aspx"

피인용 문헌

  1. 디렉토리 인덱스 안티포렌식 기법에서 Windows 파일명에 사용할 수 없는 문자 문제의 해결방법 vol.11, pp.4, 2015, https://doi.org/10.17662/ksdim.2015.11.4.069
  2. A Steganographic Data Hiding Method in Timestamps by Bit Correction Technique for Anti-Forensics vol.23, pp.8, 2015, https://doi.org/10.9708/jksci.2018.23.08.075
  3. A Method of Data Hiding in a File System by Modifying Directory Information vol.23, pp.8, 2015, https://doi.org/10.9708/jksci.2018.23.08.085
  4. 파일시스템의 클러스터를 임의로 할당하여 디스크를 단편화하기 위한 방법 vol.16, pp.2, 2015, https://doi.org/10.17662/ksdim.2020.16.2.011