• 정보처리학회논문지C
• /
• 제15C권3호
• /
• pp.141-148
• /
• 2008

2006년 겨울 Microsoft사에서 새롭게 출시한 Windows Vista는 기존의 Windows 운영체제와 비교해서 강력한 보안 메커니즘을 제공하고 있다. 하지만 컴퓨터가 범죄에 사용될 경우, 포렌식 관점에서는 새로운 보안 메커니즘으로 인하여 저장 장치에 저장되어 있는 범죄와 관련된 데이터를 획득하기가 더욱 힘들어진다. 본 논문에서는 Windows Vista에서 새롭게 사용하는 보안 메커니즘인 BitLocker에 대해 분석하고, 이전 Windows 버전에서 사용했던 UAC과 EFS에 대해서 변경된 점에 대해서 살펴보고 포렌식 관점에서 주요 보안 이슈를 살펴본다. 또한 포렌식 관점에서 활용할 수 있는 기타 Windows Vista 특징에 대해서 살펴본다.

• 정보보호학회논문지
• /
• 제21권2호
• /
• pp.71-82
• /
• 2011

라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈커널 객체 구조 설명 및 분석 방법을 설명한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 그 효과를 입증한다.

• Journal of Information Processing Systems
• /
• 제17권4호
• /
• pp.772-786
• /
• 2021

The process of tracking suspicious behavior manually on a system and gathering evidence are labor-intensive, variable, and experience-dependent. The system logs are the most important sources for evidences in this process. However, in the Microsoft Windows operating system, the action events are irregular and the log structure is difficult to audit. In this paper, we propose a model that overcomes these problems and efficiently analyzes Microsoft Windows logs. The proposed model extracts lists of both common and key events from the Microsoft Windows logs to determine detailed actions. In addition, we show an approach based on the proposed model applied to track illegal file access. The proposed approach employs three-step tracking templates using Elastic Stack as well as key-event, common-event lists and identify event lists, which enables visualization of the data for analysis. Using the three-step model, analysts can adjust the depth of their analysis.

• 한국정보통신학회논문지
• /
• 제17권2호
• /
• pp.323-331
• /
• 2013

휴대폰에서 포렌식 증거 자료를 추출하는 방법은 SYN, JTAG, Revolving 3가지 방법이 있다. 하지만 휴대폰과 스마트폰의 기술과 사용방법의 차이로 인하여, 포렌식 증거 자료를 추출하는 방법도 달라야 한다. 따라서 본 논문에서는 압수 수색된 스마트폰에서의 포렌식 증거 자료의 추출 방법을 연구하고자 한다. 압수 수색된 스마트폰에서 많이 사용되는 구글 안드로이드와 윈도우모바일 스마트폰의 분석을 위하여 스마트폰의 사양과 운영체제, 백업 분석, 증거 자료를 분석 한다. 또한 구글 안드로이드와 윈도우모바일 스마트폰의 전화번호부, SMS, 사진, 동영상에 관한 포렌식 증거 자료를 추출하여 법적인 증거자료와 포렌식 보고서를 생성한다. 본 논문에서 실험된 스마트폰 포렌식 기술 연구는 모바일 포렌식 기술 발전에 기여할 것이다.

• 디지털포렌식연구
• /
• 제12권3호
• /
• pp.27-38
• /
• 2018

최근 디지털 데이터의 양이 급격하게 증가함에 따라 대용량 저장 공간의 필요해지고 있다. RAID는 이러한 대용량 저장 공간을 관리할 수 있는 시스템이다. Windows에서 제공하는 저장소 공간은 소프트웨어 RAID의 일종이다. 저장소 공간은 Windows 8, Windows Server 2012 버전부터 지원되었으며 해당 기능에 대한 분석이 기존에 이루어져 있지 않다. 저장소 공간을 이용한 시스템을 분석하기 위해서는 저장소 공간 기능에 대한 분석과 가상 디스크 재구성 방법에 대한 연구가 이루어져야 한다. 본 논문에서는 기존 RAID의 레이아웃에 대해 간단히 설명하고 소프트웨어 RAID인 저장소 공간의 구성 방식과 메타데이터를 설명하고 구성 방식별로 가상 디스크의 재구성 방법을 제시하고 실험을 통해 이를 검증하였다.

• 한국컴퓨터정보학회:학술대회논문집
• /
• 한국컴퓨터정보학회 2021년도 제64차 하계학술대회논문집 29권2호
• /
• pp.215-218
• /
• 2021

심캐시(Shimcache, AppCompatCache) 파일은 Windows 운영체제에서 응용 어플리케이션 간의 운영체제 버전 호환성 이슈를 관리하는 파일이다. 호환성 문제가 발생한 응용 어플리케이션에 대한 정보가 심캐시에 기록되며 프리패치 (Prefetch) 파일이나 레지스트리의 UserAssist 키 등과 같이 응용 어플리케이션의 실행 흔적을 기록한다는 점에서 포렌식적 관점에서 중요한 아티팩트이다. 본 논문에서는 심캐시의 구조를 분석하여 심캐시 파일을 통해 얻을 수 있는 응용 어플리케이션의 정보를 소개하고, 기존 툴 상용도구의 개선을 통해 완전 삭제 등 안티 포렌식 도구의 실행 흔적을 탐지하는 방법을 제시한다.

• 정보보호학회논문지
• /
• 제25권6호
• /
• pp.1421-1433
• /
• 2015

디지털 기기나 컴퓨터의 포렌식을 통한 정확한 분석을 위해 디지털 포렌식 도구의 신뢰성 검증이 매우 중요하다. 도구의 신뢰성을 검증하기 위해서는 도구에 입력할 데이터 세트에 대한 개발과 연구가 필요하다. 컴퓨터에서 많이 사용되고 있는 윈도우 운영체제에서는 시간과 관련된 데이터 기준과 사용자 행위 기준의 윈도우 포렌식 아티팩트가 있다. 본 논문에서는 이 두 개의 윈도우 아티펙트를 모두 분석할 수 있도록 윈도우 환경에서 데이터 세트를 개발한 후, 공개용 디지털 포렌식 도구들을 이용하여 테스트를 진행하였다. 따라서 개발한 데이터 세트는 행위 기준의 아티팩트를 분석할 수 있는 능력을 키우기 위한 교육용으로, 디지털 포렌식 신뢰성을 검증하기 위한 도구 테스트를 목적으로, 새로운 아티팩트 분석을 위한 재활용성의 특성을 들어 활용방안을 제시한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권1호
• /
• pp.221-239
• /
• 2020

In this paper, a visualization digital forensics tool, called JumpList Analyzer, is implemented. The tool can analyze the complicated Jump Lists files, and then the results are demonstrated by visualization. To compare the proposed tool with the other Jump Lists tools, the proposed tool is the only one can display the analyzed results by visualization. The visualization will help the investigators more easily to find the evidence than the other tools showing the analyzed results by texts only. In the experiment, the proposed JumpList Analyzer is demonstrated its convenience at identifying artifacts for doing digital forensics in a financial fraud case. In addition, the proposed tool can also be used to reveal the computer user's behavior or background.

• 정보보호학회논문지
• /
• 제24권1호
• /
• pp.135-144
• /
• 2014

디지털 포렌식 조사를 회피하기 위한 안티포렌식이 발전하고 있는 가운데, 안티포렌식 행위를 찾아내기 위한 포렌식 방법들 또한 다각도로 연구되고 있다. 사용자 행위분석을 위한 여러 요소 중 응용프로그램의 아이콘 정보를 저장하고 있는 IconCache.db 파일은 디지털 포렌식 조사를 위한 의미 있는 정보들을 제공하고 있다. 본 논문은 IconCache.db 파일의 특성을 알아보고 안티포렌식에 대응할 수 있는 활용방안을 제시한다.

• International Journal of Internet, Broadcasting and Communication
• /
• 제8권3호
• /
• pp.31-40
• /
• 2016

In this paper, we propose a new anti-forensic method for hiding data in the timestamp of a file in the Windows NTFS filesystem. The main idea of the proposed method is to utilize the 16 least significant bits of the 64 bits in the timestamps. The 64-bit timestamp format represents a number of 100-nanosecond intervals, which are small enough to appear in less than a second, and are not commonly displayed with full precision in the Windows Explorer window or the file browsers of forensic tools. This allows them to be manipulated for other purposes. Every file has $STANDARD_INFORMATION and $FILE_NAME attributes, and each attribute has four timestamps respectively, so we can use 16 bytes to hide data. Without any changes in an original timestamp of "year-month-day hour:min:sec" format, we intentionally put manipulated data into the 16 least significant bits, making the existence of the hidden data in the timestamps difficult to uncover or detect. We demonstrated the applicability and feasibility of the proposed method with a test case.