http://chineseinput.net/에서 pinyin(병음)방식으로 중국어를 변환할 수 있습니다.
변환된 중국어를 복사하여 사용하시면 됩니다.
삭제되거나 손상된 이벤트 로그(EVTX) 파일 복구 기술에 대한 연구
신용학(Yonghak Shin),전준영(Junyoung Cheon),김종성(Jongsung Kim) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.2
디지털 기기의 사용이 늘어나면서 저장매체에 남아있는 각종 디지털 정보를 분석하여 범죄 단서를 찾는 디지털 포렌식 기술이 나날이 발전하고 있다. 또한 디지털 포렌식 기술과 더불어 안티 포렌식 기술도 발전하고 있다. 안티 포렌식 기술 중 분석을 어렵게 할 목적으로 사용 흔적 삭제 도구를 이용하여 로그파일 또는 웹브라우저 흔적을 삭제하기도 한다. 만약 사이버 범죄 수사 시 삭제되거나 손상된 데이터가 수사진행에 중요한 단서가 될 수 있다면 삭제되거나 손상된 데이터에 대한 복구는 매우 중요하다. 현재까지 이벤트 로그를 이용하여 다른 파일이나 파일 시스템을 복구하는 방식에 대한 연구는 많이 진행되었으나 이벤트 로그 자체를 복구하는 방법에 대한 연구는 미흡하다. 본 논문에서는 삭제되거나 손상된 이벤트 로그(EVTX) 파일의 복구 알고리즘을 제안하고, 실험을 통해 제안한 알고리즘의 높은 복구율을 확인한다. As the number of people using digital devices has increased, the digital forensic, which aims at finding clues for crimes in digital data, has been developed and become more important especially in court. Together with the development of the digital forensic, the anti-forensic which aims at thwarting the digital forensic has also been developed. As an example, with anti-forensic technology the criminal would delete an digital evidence without which the investigator would be hard to find any clue for crimes. In such a case, recovery techniques on deleted or damaged information will be very important in the field of digital forensic. Until now, even though EVTX(event log)-based recovery techniques on deleted files have been presented, but there has been no study to retrieve event log data itself, In this paper, we propose some recovery algorithms on deleted or damaged event log file and show that our recovery algorithms have high success rate through experiments.
암호학적 관점에서의 EWF 파일 이미징 효율성 개선 방안 연구
신용학(Yonghak Shin),김도원(Dowon Kim),이창훈(Changhoon Lee),김종성(Jongsung Kim) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.4
과거에 비해 현재의 디스크 저장 공간은 비약적으로 증가하고 있으며, 네트워크상에서도 이전과 비교할 수 없는 수많은 데이터들이 처리되고 있다. 이러한 데이터의 대용량화는 앞으로도 계속 될 추세이지만, 그에 비해 포렌식 관점에서 데이터를 이미징 하는 시간을 개선시키기 위한 연구는 부족한 상황이다. 본 논문은 데이터 이미징 시간을 개선시키기 위한 방안으로 전체 이미징 소요시간 중 해시함수에 대한 소요시간을 암호학적 관점에서 살펴보고, 이를 토대로 EWF 파일 이미징 과정에 대한 효율성 개선 방안을 제안한다. Compared to the past, the current disk storages have dramatically increased and extremely many data are transferred on the network everyday. In spite of the anticipation that such development will be continued, there have been lack of studies for improving the data-imaging time in terms of the digital forensics. In this paper, we firstly investigate the time due to hash functions during the data Imaging and secondly propose a method for improving the efficiency of the EWF-File imaging time from a cryptographic perspective.
김소람(Soram Kim),조재형(Jaehyung Cho),신용학(Yonghak Shin),김종성(Jongsung Kim) 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.1
모바일 기기에 남아있는 로그에는 포렌식 관점에서 사용자 행위 분석에 유용하게 활용할 수 있는 정보가 많기 때문에 정확한 데이터 수집과 분석이 이루어져야만 한다. 특히, 휘발성 데이터는 초기 대응에 중요한 역할을 할 뿐 아니라, 비휘발성 데이터 분석의 지표가 된다. 따라서 전원을 끄면 사라지는 휘발성 데이터는 제 시간에 수집되어야 하며, 신속하게 분석되어야 한다. 하지만, 그에 대한 연구는 비휘발성 데이터 분석에 비해 부족하기 때문에 사용자 행위 로그를 효율적으로 활용하기 힘든 실정이다. 본 논문에서는 iOS 기기에 남아있는 휘발성 로그를 수집하여 사용자 행위 별로 분류, 분석하였다. 로그의 특성상 기록된 내용을 텍스트 형태로 볼 수 있으나, 데이터의 양이 많기 때문에 한눈에 의미를 알아보기는 쉽지 않다. 따라서 본 논문에서는 각 행위를 태그와 로그내용으로 구분하여 포렌식 수사관 입장에서 보기 쉽게 정리하였다. The logs remaining in the mobile device have a lot of information that can be useful to analyze the user activity. In particular, volatile data not only has important information for initial response, but also an indicator of non-volatile data analysis. However, since volatile data can be lost if power is off, volatile data analysis should be done quickly on time. But research on volatile data is insufficient compared with non-volatile data analysis, so it is difficult to use in real time. In this paper, we study volatile log on iOS devices, and they are collected and classified by user activity. It is possible to read the logs in text form, but it is difficult to understand the meaning because of the large amount of data. Therefore, we divide each activity into tags and log contents so that the forensic investigator can utilize this study easily.