Earticle

현재 위치 Home

Forensic

윈도우즈 파일시스템에서 파일명령 구별을 위한 디지털 포렌식 방법
A Digital Forensic Method for a Distinction of File Commands in Windows File System

첫 페이지 보기
  • 발행기관
    보안공학연구지원센터(JSE) 바로가기
  • 간행물
    보안공학연구논문지 KCI 등재 바로가기
  • 통권
    Vol.12 No.4 (2015.08)바로가기
  • 페이지
    pp.379-396
  • 저자
    조규상
  • 언어
    한국어(KOR)
  • URL
    https://www.earticle.net/Article/A252773

※ 원문제공기관과의 협약기간이 종료되어 열람이 제한될 수 있습니다.

원문정보

초록

영어
This research proposes a new digital forensic method for a distinction of file commands in Windows NTFS file system. The proposed method is to distinct what command is executed only by comparing timestamp change pattern before and after a file command execution. The proposed method is composed of three parts, i.e. TCC & CC(Timestamp Change Check & Code Conversion) function, B2D(Binary to Decimal) conversion function, and FDD(Forensic Decision Decoder) function. Each input of the TCC & CC for timestamps of 8 timestamps in $SI and $FN is assigned 2 bits respectively and it produces 16 bit code. The code is converted into a decimal value by the B2D conversion function. The decimal value is decoded into a forensic output by the FDD function. The proposed method gives a forensic way to distinct executed file command. With three forensic cases, i.e. a file creation, a file copy and a file overwrite-a source file left command, the proposed forensic method is verified for its usefulness.
한국어
이 논문에서는 윈도우즈 NTFS 파일시스템에서 파일명령을 구분할 수 있는 새로운 디지털 포렌식 방법을 제안한다. 제안한 방법은 파일명령을 수행할 때 타임스탬프의 변화가 생기는 것을 이용하여 어떤 파일명령이 실행되었는지 구분하는 기능을 수행한다. 이것을 구현하기 위하여 TCC & CC(Timestamp Change Check & Code Conversion) 함수, B2D(Binary to Decimal) 변환함수, FDD(Forensic Decision Decoder) 함수 등의 3가지 함수를 구현한다. TCC & CC는 $SI와 $FN 속성에 들어 있는 각 4개씩 모두 8개의 타임스탬프의 변화에 대해 각각 2비트를 할당하여 전체 16비트 코드 를 만드는 기능을 하고, B2D변환 함수는 이것을 10진수로 변환하여 해당 값을 FDD 함수에 입력하여 디코드된 포렌식을 위한 출력값을 만든다. 제안된 방법을 파일생성, 파일복사, 파일덮어쓰기-소스남김 사례에 적용하여 타임스탬프의 변화에 의해서 어떤 파일명령이 수행되었는지 구분한 결과를 보이기 로 한다.

목차

요약
 Abstract
 1. 서론
 2. 타임스탬프 변화 패턴의 분석
  2.1 기호 표기법
  2.2 파일명령 실행 후의 타임스탬프 변화
 3. 디지털 포렌식을 위한 파일명령 구별함수의 설계
  3.1 파일명령 구별함수의 개요
  3.2 Timestamp Change Check & Code Conversion Function 함수의 정의
  3.3 Binary to Decimal Conversion
  3.4 FDD(Forensic Decision Decoder)의 기능
 4. 사례분석
  4.1 작업환경
  4.2 사례 1: 파일 생성의 경우
  4.3 사례 2: 파일 복사의 경우
  4.4 사례 3: 파일덮어쓰기-소스남김의 경우
 5. 결론
 References

키워드

디지털 포렌식 타임스탬프 변화 패턴 명령어 구분함수 이벤트 재구성 NTFS파일시스템 Digital forensics Timestamp change pattern Command distinction function NTFS filesystem

저자

  • 조규상 [ Gyu-Sang Cho | 동양대학교 컴퓨터정보전학과 ]

참고문헌

자료제공 : 네이버학술정보

간행물 정보

발행기관

  • 발행기관명
    보안공학연구지원센터(JSE) [보안공학연구지원센터]
  • 설립연도
    2006
  • 분야
    공학>컴퓨터학
  • 소개
    1. 보안공학에 대한 각종 조사 및 연구 2. 보안공학에 대한 응용기술 연구 및 발표 3. 보안공학에 관한 각종 학술 발표회 및 전시회 개최 4. 보안공학 기술의 상호 협조 및 정보교환 5. 보안공학에 관한 표준화 사업 및 규격의 제정 6. 보안공학에 관한 산학연 협동의 증진 7. 국제적 학술 교류 및 기술 협력 8. 보안공학에 관한 논문지 발간 9. 기타 본 회 목적 달성에 필요한 사업

간행물

  • 간행물명
    보안공학연구논문지 [Journal of Security Engineering]
  • 간기
    계간
  • pISSN
    1738-7531
  • 수록기간
    2005~2017
  • 십진분류
    KDC 505 DDC 605

이 권호 내 다른 논문 / 보안공학연구논문지 Vol.12 No.4

    피인용수 : 0(자료제공 : 네이버학술정보)

    함께 이용한 논문 이 논문을 다운로드한 분들이 이용한 다른 논문입니다.

      출처 : 네이버학술정보

        0개의 논문이 장바구니에 담겼습니다.

        페이지 저장
        소속기관 조회
        이용자님의 소속기관(단체)이 서비스에 가입되어 있는지 확인해 보십시오.
        기관회원에 소속되어 있는 이용자는 원문을 무료로 이용할 수 있습니다.