윈도우 인증 암호 우회 기법

방제완,이상진 한국디지털포렌식학회 2008 디지털 포렌식 연구 Vol.2 No.1

운영체제에 의해서 동작하고 있는 온라인 상태의 라이브 시스템에서는 프로세스 테이블, 메모리 영역 정보 등과 같은 저장매체에서 얻을 수 없는 휘발성 데이터를 획득할 수 있다. 하지만 사용자 인증이 이루어져 있지 않거나 잠긴 상태의 윈도우 시스템의 경우 시스템 접근이 불가능해 전원 차단 후 저장매체 내용을 수집한다. 이 과정에서 증거 가능성이 있는 라이브 데이터를 유실하게 된다. 이에 본 논문은 윈도우 시스템의 사용자 인증에 사용되는 정보를 살펴보고 IEEE-1394[1] Interface를 통한 물리 메모리 직접 접근과 SAM[2]파일로 관리되는 계정 정보를 통해 하드웨어 기반의 윈도우 시스템 인증 우회 도구를 구현하여 인증이 필요한 라이브 상태 시스템의 휘발성 데이터 취득을 가능하게 하였다. In online live system where the operating system is under operation, volatile data that cannot be attained through storage such as process table and memory range information can be achieved. However, contents of the storage are collected when user Authentication is not made or system access is impossible in case of locked Windows system after cutting off the power. Through this process, live data with possibility of Authentication are lost. Therefore, this paper observes information used for user Authentication in Windows system and allows to achieve volatile data in live system needed for Authentication bypassing Window Authentication tool based on IEEE-1394 through account information modified with physical memory direct access and SAM file.

시스템 시간 변경 탐지에 관한 연구

방제완(Je-Wan Bang),권태석(Tae-Suk Kwon),이상진(Sang-Jin Lee) 한국디지털포렌식학회 2008 디지털 포렌식 연구 Vol.- No.2

VPN기반의 안전한 VoIP 시스템 설계 및 구현

방제완 ( Je-wan Bang ),박정용 ( Jung-yong Park ),권지웅 ( Kwon Jiwoong ),이상진 ( Lee¸ Sangjin ),류대현 ( Dae-hyun Ryu ) 한국정보처리학회 2007 한국정보처리학회 학술대회논문집 Vol.14 No.1

VoIP 서비스는 인터넷을 기반으로 하므로 인터넷망에서 발생하는 보안 위험이 내재해 있고, 서비스가 실시간으로 이루어진다는 특성으로 인해 기존의 보안 솔루션으로 이러한 보안 위험을 해소하기는 어렵다. 따라서 VoIP 망 구축 초기단계부터 정보보호를 고려하여 보안대책을 세우고 이를 반영하는 것이 비용과 보안 효과 측면에서 바람직하다. 본 논문에서는 상용 VPN 제품에 공개 프로젝트인 SIP VoIP Gateway ‘Asterisk’을 연동하여 사용자 인증과 데이터 기밀성을 효과적으로 수행하기 위한 VoVPN(Voice over Virtual Private Network)을 설계하고 구현하였다.

윈도우 인증 암호 우회 기법

방제완(Je-Wan Bang),이상진(Sang-Jin Lee) 한국디지털포렌식학회 2008 디지털 포렌식 연구 Vol.- No.3

파일 조작에 따른 파일 시간 변화 분석

방제완(Jewan Bang),유병영(Byeongyeong Yoo),이상진(Sangjin Lee) 한국정보보호학회 2010 정보보호학회논문지 Vol.20 No.3

디지털 포렌식 수사에 있어 시간 정보는 중요한 요소이다. 윈도우즈의 NTFS(New Technology File System) 환경에서 획득할 수 있는 파일의 시간 정보는 생성, 수정, 접근, MFT entry 수정 시간이며 이는 파일의 복사나 이동, 이름 변경 등의 사용자의 행위에 따라 특징적으로 변경된다. 이러한 시간 변경 특징은 사용자의 데이터 이동 및 데이터 변경 등의 행위 분석에 활용할 수 있다. 본 논문에서는 윈도우즈 운영체제 별로 사용자의 행위에 따른 파일이나 폴더의 시간 변화를 분석하여 이를 바탕으로 시스템 분석시 사용자의 행위를 유추할 수 있도록 한다. In digital forensics, the creation time, last modified time, and last accessed time of a file or folder are important factors that can indicate events that have affected a computer system. The form of the time information varies with the file system, depending on the user’s actions such as copy, transfer, or network transport of files. Specific changes of the time information may be of considerable help in analyzing the user’s actions in the computer system. This paper analyzes changes in the time information of files and folders for different operations of the NTFS and attempts to reconstruct the user’s actions.

디지털 포렌식 관점의 물리 메모리 영역 수집과 분석

방제완(Jewan Bang),김권엽(Kwonyoup Kim),이상진(Sangjin Lee),임종인(Jongin Lim) 한국방송·미디어공학회 2008 한국방송공학회 학술발표대회 논문집 Vol.2008 No.-

물리 메모리 영역에는 증거로 활용될 수 있는 프로세스 정보와 이름, ID, 비밀 번호, 전자 메일 주소 등의 정보를 담고 있다. 또 용의자가 행위를 감추기 위해 안티 포렌식 기법을 사용하여 저장매체 상에서 완전 삭제한 파일의 잔여 데이터를 취득할 수 있는 가능성이 있다. 하드 디스크와 같은 저장 매체의 경우 증거 수집 절차시 Hash와 같은 무결성 보장 과정을 거쳐 복사본의 유효성 확인 가능하지만 물리 메모리 영역의 경우 운용 중인 시스템에서 발생하는 운영체제와 응용 프로그램의 동작에 의한 지속적인 데이터의 변화로 무결성 및 동일한 대상에서 수집되었다는 것을 확인하기 어렵고 소프트웨어 기반의 수집은 시스템의 상태를 변화 시킨다. 본 논문에서는 물리 메모리 영역 수집 기법을 알아보고 IEEE1394의 특성을 이용한 하드웨어 기반 물리 메모리 영역 수집 도구를 구현하였다. 또 수집된 물리 메모리 덤프를 이용하여 물리 메모리에서 얻을 수 있는 정보를 확인하고 동일 대상의 메모리와 다른 대상의 메모리를 비교하여 그 차이를 확인한다.

완전삭제 도구 사용 흔적에 관한 연구

김연수,방제완,김진국,이상진,Kim, Yeon-Soo,Bang, Je-Wan,Kim, Jin-Kook,Lee, Sang-Jin 한국정보처리학회 2010 정보처리학회논문지 C : 정보통신,정보보안 Vol.17 No.2

The data wiping is a technique which perfectly deletes data in a storage to prevent data recovery. Currently, management of stored data is important because of increasing an accident of personal information leakage. Especially, if you need to discard data contained personal information, using a wiping tool which permanently deletes data to prevent unnecessary personal information leakage. The data wiping is also used for data security and privacy protection. However the data wiping can be used intentionally destruction of evidence. This intentionally destruction of evidence is important clues of forensic investigation. This paper demonstrates the methods for detecting the usage of wiping tools in digital forensic investigation. 완전삭제 기술은 저장장치 내 데이터를 복구가 불가능하도록 흔적 없이 완벽하게 삭제하는 기술이다. 최근 개인정보 유출 사고가 급증함에 따라 저장된 데이터의 관리가 중요해지고 있다. 특히 개인정보가 포함된 데이터를 폐기해야 하는 경우, 데이터를 영구적으로 삭제하는 완전삭제 도구를 사용함으로써 개인정보에 대한 불필요한 유출을 막을 수 있다. 또한 완전삭제 기술은 데이터 보안 및 프라이버시 보호 측면으로 활용 가능하다. 그러나 완전삭제 기술은 의도적으로 사건과 관련된 증거를 인멸하기 위해 사용될 수도 있다. 이러한 의도적인 증거 인멸은 사건 수사에 있어서 중요한 실마리가 될 수 있다. 본 논문에서는 디지털 포렌식 수사 과정에서 완전삭제 도구의 사용 흔적을 확인할 수 있는 방안을 제시한다.

NTFS 파일 시스템에서 MS Office 워드 문서와 관련된 시간 정보 분석

서기민,권혁돈,방제완,장기식,오승진 한국디지털포렌식학회 2009 디지털 포렌식 연구 Vol.3 No.2

Time information is the basic judging criteria at the scene to verify the suspect's alibi. Likewise, Time information associtated with file(especially MS Document file) in the digital forensic investigation can be used to verify manipulation of file. There are 4 different time information in the NTFS file system. Also, MS Office document files regardless of the file system time have last modified time. In this paper, we analyze the time information associated with MS word file, so the criteria were established. And we design the tool that detect the modification of document. 일반 범행 현장에서 용의자의 시간 정보는 알리바이를 검증하는 기본적인 판단 기준이다. 이와 마찬가지로 디지털 포렌식 수사에서도 파일(특히 문서 파일)과 관련된 시간 정보는 파일의 조작 여부를 검증하는 데 사용할 수 있다. 윈도우즈 운영체제에서 사용하는 NTFS 파일 시스템은 4 가지 시간 저보를 저장하지만 이는 복사 등의 행위로 쉽게 변경 될 수 있다. 하지만 MS 오피스 워드 파일 내부에는 파일 시스템의 시간과 상관없이 유지되는 별도의 시간 정보가 저장되어 있다. 또한 링크 파일에는 워드 문서와 관련된 시간 정보가 저장된다. 이러한 영역의 시간 정보를 분석함으로써 문서 작성이나 수정이 언제 이루어 졌는지 또는 고의적인 시간 조작의 유무를 판단할 수 있다. 이에 본 논문에서는 MS 오피스 워드 파일과 관련된 시간 정보를 분석함으로써 문서에 대한 용의자의 사용 흔적을 판단할 수 있는 기준을 정립하고 이를 쉽게 판별할 수 있는 도구를 설계하였다.

보안 USB 내 증거 수집을 위한 USB 프로토콜 분석

이혜원,이근기,방제완,박창욱,김권엽,이상진 한국디지털포렌식학회 2008 디지털 포렌식 연구 Vol.2 No.1

최근 저장장치는 기술이 발달함에 의해 고 용량화, 소형화 되었다. 그 중 USB는 휴대성 측면에서 이점이 있어 현재 가장 널리 사용되고 있다. 이에 따라 USB를 이용한 정보유출사고 등 디지털 범죄가 빈번하게 발생되고 있다. 그러므로 USB는 사건 수사와 관련하여 중요한 증거를 저장할 수 있으므로 필수적으로 분석되어야 한다. 그러나 2006년에 발생된 일심회 사건과 같이 USB내의 정보를 보호하기 위해 보안 기능을 제공하는 USB를 사용한 경우 혹은 용의자가 증거 은폐를 목적으로 잠금 기능을 이용했을 경우 USB가 증거로 획득될지라도 보안 기능으로 인해 수사관이 관련 증거를 분석하는 과정에 있어 어려움이 따른다. 이에 본 논문에서는 현재 시장에서 유통되는 보안 USB의 보안기능을 분석하여 그 유형을 분류하고 증거를 획득할 수 있는 방안을 제시한다.

Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구

유병영,이상진,방제완 한국디지털포렌식학회 2009 디지털 포렌식 연구 Vol.3 No.2

Transaction indicates that the reservation of original data before committing works by executing a single work as an atomic unit. Transactional NTFS(TxF) is the thing that applies Transaction into on NTFS and is the first introduced in the Windows Vista. As Transactional NTFS, Transactional Registry (TxR) is that applies Transaction functions into Registry. When working on the task that Transaction is applied, the log relating to the work is recorded. Throughout the log, user can check work information. This paper introduces Transactional NTFS and Transactional Registry and analysis logs in the point view of digital forensics. Furthermore, this paper simulates the implement that analyze the Transaction log file. Transaction은 하나의 작업을 원자(atomic)단위로 수행하여 작업을 완료(commit)하기 전까지 원본의 데이터를 보존하는 것을 말한다. Transactional NTFS(TxF)는 NTFS에 Transaction을 적용한 것으로 윈도우 비스타에서 처음 도입된 기능이다. Transactional Registry(TxR)는 Transactional NTFS와 마찬가지로 레지스트리에 Transaction 기능을 적용한 것이다. Transaction이 적용된 작업을 수행할 경으, 해당 작업에 대한 로그가 기록된다. 이러한 로그를 통해 사용자의 작업 내역을 확인할 수 있다. 본 논문에서는 Transactional NTFS와 Transactional Registry을 소개하고, 디지털 포렌식 관점에서 로그를 분석한다. 그리고 Transaction 로그 파일을 분석하는 도구를 구현한다.