Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구

유병영,이상진,방제완 한국디지털포렌식학회 2009 디지털 포렌식 연구 Vol.3 No.2

Transaction indicates that the reservation of original data before committing works by executing a single work as an atomic unit. Transactional NTFS(TxF) is the thing that applies Transaction into on NTFS and is the first introduced in the Windows Vista. As Transactional NTFS, Transactional Registry (TxR) is that applies Transaction functions into Registry. When working on the task that Transaction is applied, the log relating to the work is recorded. Throughout the log, user can check work information. This paper introduces Transactional NTFS and Transactional Registry and analysis logs in the point view of digital forensics. Furthermore, this paper simulates the implement that analyze the Transaction log file. Transaction은 하나의 작업을 원자(atomic)단위로 수행하여 작업을 완료(commit)하기 전까지 원본의 데이터를 보존하는 것을 말한다. Transactional NTFS(TxF)는 NTFS에 Transaction을 적용한 것으로 윈도우 비스타에서 처음 도입된 기능이다. Transactional Registry(TxR)는 Transactional NTFS와 마찬가지로 레지스트리에 Transaction 기능을 적용한 것이다. Transaction이 적용된 작업을 수행할 경으, 해당 작업에 대한 로그가 기록된다. 이러한 로그를 통해 사용자의 작업 내역을 확인할 수 있다. 본 논문에서는 Transactional NTFS와 Transactional Registry을 소개하고, 디지털 포렌식 관점에서 로그를 분석한다. 그리고 Transaction 로그 파일을 분석하는 도구를 구현한다.

Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구

유병영(Byeong-Yeong Yoo),방제완(Je-Wan Bang),이상진(Sang-Jin Lee) 한국디지털포렌식학회 2009 디지털 포렌식 연구 Vol.- No.5

Transaction은 하나의 작업을 원자(atomic)단위로 수행하여 작업을 완료(commit)하기 전까지 원본의 데이터를 보존하는 것을 말한다. Transactional NTFS(TxF)는 NTFS에 Transaction을 적용한 것으로 윈도우 비스타에서 처음 도입된 기능이다. Transactional Registry(TxR)는 Transactional NTFS와 마찬가지로 레지스트리에 Transaction 기능을 적용한 것이다. Transaction이 적용된 작업을 수행할 경으, 해당 작업에 대한 로그가 기록된다. 이러한 로그를 통해 사용자의 작업 내역을 확인할 수 있다. 본 논문에서는 Transactional NTFS와 Transactional Registry을 소개하고, 디지털 포렌식 관점에서 로그를 분석한다. 그리고 Transaction 로그 파일을 분석하는 도구를 구현한다. Transaction indicates that the reservation of original data before committing works by executing a single work as an atomic unit. Transactional NTFS(TxF) is the thing that applies Transaction into on NTFS and is the first introduced in the Windows Vista. As Transactional NTFS, Transactional Registry (TxR) is that applies Transaction functions into Registry. When working on the task that Transaction is applied, the log relating to the work is recorded. Throughout the log, user can check work information. This paper introduces Transactional NTFS and Transactional Registry and analysis logs in the point view of digital forensics. Furthermore, this paper simulates the implement that analyze the Transaction log file.

유니코드 변환이 적용된 NTFS 인덱스 레코드에 데이터를 숨기기 위한 안티포렌식 기법

조규상 한국융합보안학회 2015 융합보안 논문지 Vol.15 No.7

윈도우즈 NTFS 파일시스템에서 인덱스 레코드에 데이터를 숨기기 위한 기법은 파일명을 이용하여 메시지를 숨기는방법이다. 윈도우즈 NTFS의 파일명 규칙에서 일부 ASCII 문자는 파일명으로 사용할 수 없는 문제가 있다. 영문과 함께 한글, 기호 문자가 함께 입력이 될 때와 바이너리 형태의 데이터들이 입력될 때 인덱스 레코드에 데이터 숨기기 방법 수행 시에 파일생성 에러 문제가 발생하는 것을 해결하기 위한 방법으로 유니코드의 특정 영역으로 변환하는 방법을제안한다. 에러가 발생하는 문자들을 한글과 영문 영역이 아닌 유니코드로 변환하고. 바이너리 형태의 데이터인 경우는확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 256개의 코드 전체를 변환하는 방식을 적용한다. 영문과 함께 한글이 사용된 경우에 제안한 방식이 적용된 사례의 결과를 보이고. 바이너리의 경우는 PNG이미지 파일의 바이너리 코드를 유니코드로 변환한 사례를 통해서 제안한 방법이 타당함을 보인다. In an “NTFS Index Record Data Hiding” method messages are hidden by using file names. Windows NTFS file naming convention has some forbidden ASCII characters for a file name. When inputting Hangul with the Roman alphabet, if the forbidden characters for the file name and binary data are used, the codes are convert to a designated unicode point to avoid a file creation error due to unsuitable characters. In this paper, the problem of a file creation error due to non-admittable characters for the file name is fixed, which is used in the index record data hiding method. Using Hangul with Roman alphabet the characters cause a file creation error are converted to an arbitrary unicode point except Hangul and Roman alphabet area. When it comes to binary data, all 256 codes are converted to designated unicode area except an extended unicode(surrogate pairs) and ASCII code area. The results of the two cases, i.e. the Hangul with Roman alphabet case and the binary case, show the applicability of the proposed method.

Ordinary B-tree vs NTFS B-tree: A Digital Forensics Perspectives

Cho, Gyu-Sang 한국컴퓨터정보학회 2017 韓國컴퓨터情報學會論文誌 Vol.22 No.8

In this paper, we discuss the differences between an ordinary B-tree and B-tree implemented by NTFS. There are lots of distinctions between the two B-tree, if not understand the distinctions fully, it is difficult to utilize and analyze artifacts of NTFS. Not much, actually, is known about the implementation of NTFS, especially B-tree index for directory management. Several items of B-tree features are performed that includes a node size, minimum number of children, root node without children, type of key, key sorting, type of pointer to child node, expansion and reduction of node, return of node. Furthermore, it is emphasized the fact that NTFS use B-tree structure not B+structure clearly.

다중 사용자 환경에서 개인 데이터 보안을 위한 개인 폴더 관리 시스템의 설계 및 구현

박용훈(Yonghun Park),박형순(Hyeongsoon Park),김학철(Hakchul Kim),이효준(Hyojoon Lee),장용진(Yongjin Jang),임종태(Jongtae Lim),장수민(Sumin Jang),서원석(Wonseok Seo),유재수(Jaesoo Yoo) 한국콘텐츠학회 2010 한국콘텐츠학회논문지 Vol.10 No.5

최근에 세계적으로 다중사용자시스템(Multi-User System, MUS)에 대한 수요가 꾸준히 증가하고 있다. 다중사용자시스템은 한대의 컴퓨터본체에 여러 개의 디스플레이어와 키보드, 마우스 등 입출력장치들을 연결하여 여러 명의 사용자가 동시에 이용할 수 있게 하는 시스템이다. 다중 사용자 시스템에서 보안은 해결해야 할 중요한 문제 중의 하나이다. 본 연구에서는 다중 사용자 환경에서 사용자 편의성 중심의 설계와 다양한 보안 기능을 제공하는 시스템을 제안한다. 시스템은 마이크로소프트사에서 개발된 NTFS 파일 시스템 기반에서 작동하며 NTFS 파일 시스템의 복잡한 보안 설정 기능을 단순화 하여 사용자 편의성을 높인다. 기본적으로 윈도우즈 시스템과 같이 중요한 폴더에 대해서는 개인 폴더 설정이 안 되고 다른 사용자간에 개인 폴더 설정의 충돌을 방지하기 위한 다양한 정책을 제안한다. 접근 금지 폴더를 지정하여 아무도 개인 폴더로 지정할 수 없는 공간을 설정하는 기능도 제공한다. In recent, the interests of multi-user systems have been increased. Multi-user systems allow a number of users to access the system simultaneously. Security is one of the key issues to be addressed in a multi-user environment. We propose a solution based on the NTFS file system that provides the personal data security and considers the convenience of users. The system increases the convenience of users by simplifying the complexity of the security setting on NTFS. We also propose a variety of policies that prevent from the conflicts incurring when different users set up the personal folders simultaneously and do not set up the important folders such as the window system folders as personal folders. In addition, our system supports the function of setting up the prohibition folder lists so that no one can not set the folder to their personal folders.

NTFS에서 저장장치 성능을 활용한 타임스탬프 변조 탐지 기법 설계

송종화,이현섭 한국사물인터넷학회 2023 한국사물인터넷학회 논문지 Vol.9 No.6

Windows 운영체제는 다양한 데이터를 타임스탬프와 함께 로깅한다. 타임스탬프 변조는 안티포렌식의 한 행위로 용의자가 범행과 관련된 데이터의 타임스탬프 조작을 통해 흔적을 숨겨 분석관이 사건의 상황 재현을 어렵게 하여수사를 지연시키거나 중요한 디지털 증거 획득을 실패하게 만든다. 따라서 이를 대처하기 위해 타임스탬프 변조를 탐지하는 여러 기법이 개발되었다. 그러나 만일 용의자가 타임스탬프 패턴을 인지하고 정교하게 시간을 조작하거나 변조탐지에 활용되는 시스템 아티팩트를 변경한다면 탐지가 어렵다는 한계점을 가지고 있다. 본 논문에서는 용의자가 파일의 타임스탬프를 조작하더라도 저장장치의 속도에 비례하여 1초 미만의 단위값까지를 고려한 정교한 변경이 어려움에착안하여, 타임스탬프 변조를 탐지할 수 있는 기법을 설계하고자 한다. 설계한 탐지 기법에서는 우선 변조가 의심스러운파일의 타임스탬프를 확인하여 해당 파일의 쓰기시간을 확인한다. 그다음 확인된 시간을 저장장치의 성능을 고려하여시간 내에 기록된 파일 크기와 대조한다. 마지막으로 특정 시간에 파일이 쓰인 총용량을 구하고 저장장치의 최대 입출력 성능과 비교하여 파일의 변조 여부를 탐지한다. Windows operating system generates various logs with timestamps. Timestamp tampering is an act of anti-forensics in which a suspect manipulates the timestamps of data related to a crime to conceal traces, making it difficult for analysts to reconstruct the situation of the incident. This can delay investigations or lead to the failure of obtaining crucial digital evidence. Therefore, various techniques have been developed to detect timestamp tampering. However, there is a limitation in detection if a suspect is aware of timestamp patterns and manipulates timestamps skillfully or alters system artifacts used in timestamp tampering detection. In this paper, a method is designed to detect changes in timestamps, even if a suspect alters the timestamp of a file on a storage device, it is challenging to do so with precision beyond millisecond order. In the proposed detection method, the first step involves verifying the timestamp of a file suspected of tampering to determine its write time. Subsequently, the confirmed time is compared with the file size recorded within that time, taking into consideration the performance of the storage device. Finally, the total capacity of files written at a specific time is calculated, and this is compared with the maximum input and output performance of the storage device to detect any potential file tampering.

MFT 분석기술을 이용한 Alternate Data Stream 탐지 기법

김요식,류재철,박상서 한국융합보안학회 2007 융합보안 논문지 Vol.7 No.3

NTFS의 ADS는 매킨토시의 계층적 파일 시스템과의 호환을 위해 개발되었으나 최근에는 악의적 사용자들에 의해 악성코드 또는 안티 포렌식 목적의 데이터 은닉 용도로 활용되고 있다. 은닉된 ADS의 존재여부를 파악하고 정보를 추출하는 것은 컴퓨터 포렌식 분야에서 중요한 요소이다. 본 논문에서는 NTFS의 MFT정보를 이용하여 ADS를 탐지하기 위한 방법을 제안하였다. 이 방법을 구현하여 비교실험한 결과, 기존의 방법에 비해 검색속도와 탐지건수 면에서 우수함을 확인하였다. 이 방법을 이용하면 운영체제에서 사용중인 파일도 검사할 수 있으며, 라이브 시스템뿐 아니라 이미지에 대해서도 탐지가 가능해 포렌식 목적에 부합된다. Alternate Data Streams (ADS) in NTFS originally has developed to provide compatibility with Macintosh Hierarchical File System. However, it is being used by the malware writers in order to support hiding malwares or data for the purpose of anti-forensics. Therefore identifying if hidden ADSs exist and extracting them became one of the most important component in computer forensics. This paper proposes a method to detect ADSs using MFT information. Experiment reveals that proposed method is better in performance and detection rate then others. This method supports not only identification of ADSs which are being used by the operating systems but also investigation of both live systems and evidence images. Therefore it is appropriate for using forensic purpose.

윈도우즈 파일시스템에서 파일명령 구별을 위한 디지털 포렌식 방법

조규상 보안공학연구지원센터(JSE) 2015 보안공학연구논문지 Vol.12 No.4

이 논문에서는 윈도우즈 NTFS 파일시스템에서 파일명령을 구분할 수 있는 새로운 디지털 포렌식 방법을 제안한다. 제안한 방법은 파일명령을 수행할 때 타임스탬프의 변화가 생기는 것을 이용하여 어떤 파일명령이 실행되었는지 구분하는 기능을 수행한다. 이것을 구현하기 위하여 TCC & CC(Timestamp Change Check & Code Conversion) 함수, B2D(Binary to Decimal) 변환함수, FDD(Forensic Decision Decoder) 함수 등의 3가지 함수를 구현한다. TCC & CC는 $SI와 $FN 속성에 들어 있는 각 4개씩 모두 8개의 타임스탬프의 변화에 대해 각각 2비트를 할당하여 전체 16비트 코드 를 만드는 기능을 하고, B2D변환 함수는 이것을 10진수로 변환하여 해당 값을 FDD 함수에 입력하여 디코드된 포렌식을 위한 출력값을 만든다. 제안된 방법을 파일생성, 파일복사, 파일덮어쓰기-소스남김 사례에 적용하여 타임스탬프의 변화에 의해서 어떤 파일명령이 수행되었는지 구분한 결과를 보이기 로 한다. This research proposes a new digital forensic method for a distinction of file commands in Windows NTFS file system. The proposed method is to distinct what command is executed only by comparing timestamp change pattern before and after a file command execution. The proposed method is composed of three parts, i.e. TCC & CC(Timestamp Change Check & Code Conversion) function, B2D(Binary to Decimal) conversion function, and FDD(Forensic Decision Decoder) function. Each input of the TCC & CC for timestamps of 8 timestamps in $SI and $FN is assigned 2 bits respectively and it produces 16 bit code. The code is converted into a decimal value by the B2D conversion function. The decimal value is decoded into a forensic output by the FDD function. The proposed method gives a forensic way to distinct executed file command. With three forensic cases, i.e. a file creation, a file copy and a file overwrite-a source file left command, the proposed forensic method is verified for its usefulness.

하드디스크의 물리적 섹터 접근 방법을 이용한 MFT기반 증거 파일 탐색 기법

김요식,최명렬,장태주,류재철 한국융합보안학회 2008 융합보안 논문지 Vol.8 No.4

대용량 하드디스크의 등장으로 많은 자료를 컴퓨터의 하드디스크에 저장할 수 있게 되었다. 하드디스크의 용량이 커지면서 저장되어 있는 파일 및 디렉토리가 증가하여 디지털 포렌식 분 야에서도 탐색해야 하는 정보가 증가하게 되었다. 대용량 하드디스크에서 증거로 활용될 수 있 는 파일 정보를 탐색하기 위해서는 윈도우 시스템에서 제공해주는 파일관리 함수군을 주로 이 용한다. 하지만, 이 방법은 파일과 디렉토리의 수가 많을 경우 처리속도가 느리며, 파일 정보를 읽을 경우 파일의 접근시간이 변경된다. 또한, 운영체제 또는 응용 프로그램에 의해 이미 사용 중인 파일의 경우 접근이 불가능하다는 단점이 있다. 본 논문에서는 대용량 하드디스크에 저장 되어 있는 파일 및 디렉토리를 빠르게 탐색하기 위한 방법으로 하드디스크의 물리적 섹터에 접 근하여 NTFS의 MFT 정보를 획득하고, 획득된 MFT 정보를 기반으로 증거파일을 탐색하는 방 법을 제시하고 구현하였다. According to the capacity of hard disk drive is increasing day by day, the amount of data that forensic investigators should analyze is also increasing. This trend need tremendous time and effort in determining which files are important as evidence on computers. Using the file system APIs provided by Windows system is the easy way to identify those files. This method, however, requires a large amount of time as the number of files increase and changes the access time of files. Moreover, some files cannot be accessed due to the use of operating system. To resolve these problems, forensic analysis should be conducted by using the Master File Table (MFT). In this paper, We implement the file access program which interprets the MFT information in NTFS file system. We also extensibly compare the program with the previous method. Experimental results show that the presented program reduces the file access time then others. As a result, The file access method using MFT information is forensically sound and also alleviates the investigation time.

디렉토리 인덱스에 데이터 숨기기 방법을 적용하기 위한 필요한 요소들

조규상(Gyu-Sang Cho) 한국컴퓨터정보학회 2018 한국컴퓨터정보학회 학술발표논문집 Vol.26 No.2