KR100952470B1 - Image file format for storing digital evidence from computer storages and recoding medium thereof - Google Patents

Image file format for storing digital evidence from computer storages and recoding medium thereof Download PDF

Info

Publication number
KR100952470B1
KR100952470B1 KR1020070132715A KR20070132715A KR100952470B1 KR 100952470 B1 KR100952470 B1 KR 100952470B1 KR 1020070132715 A KR1020070132715 A KR 1020070132715A KR 20070132715 A KR20070132715 A KR 20070132715A KR 100952470 B1 KR100952470 B1 KR 100952470B1
Authority
KR
South Korea
Prior art keywords
image file
data
recorded
file format
bytes
Prior art date
Application number
KR1020070132715A
Other languages
Korean (ko)
Other versions
KR20090065237A (en
Inventor
이상수
은성경
홍도원
신상욱
박태식
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020070132715A priority Critical patent/KR100952470B1/en
Publication of KR20090065237A publication Critical patent/KR20090065237A/en
Application granted granted Critical
Publication of KR100952470B1 publication Critical patent/KR100952470B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/16Protection against loss of memory contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Abstract

본 발명의 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷은 컴퓨터(Computer) 하드디스크(Hard Disk)나 휴대용 메모리 카드(Memory Card)와 같은 일반적인 디지털(Digital) 저장 장치로부터 획득된 디지털 증거 데이터(Evidence Data)의 저장 포맷(Format) 구조에 관한 것이다. 본 발명에 따르면 압축과 파일 크기에 따른 복수의 이미지 파일 생성에 의해 대용량의 증거 데이터들도 경량화되어 저장될 수 있으며 유한한 저장크기를 가지는 저장매체에 안전하게 저장될 수 있다.The image file format for storing and analyzing digital evidence of the present invention is digital evidence data obtained from a general digital storage device such as a computer hard disk or a portable memory card. Data) storage format (Format) structure. According to the present invention, a large amount of evidence data can be stored in a light weight by storing a plurality of image files according to compression and file size, and can be safely stored in a storage medium having a finite storage size.

포렌식, 컴퓨터, 저장매체, 증거, 포맷, 디스크, 이미지 파일 Forensic, computer, storage media, evidence, format, disk, image file

Description

디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조 및 그 구조로 데이터가 기록된 기록 매체{Image file format for storing digital evidence from computer storages and recoding medium thereof}Image file format for storing and analyzing digital evidence and a recording medium on which data is recorded in the structure {image file format for storing digital evidence from computer storages and recoding medium}

본 발명은 컴퓨터 포렌식의 디스크 이미징(Disk imaging)에 관한 것으로서, 보다 상세하게는 디지털 증거(Digital evidence)의 저장 및 분석을 위한 이미지 파일 포맷 구조 및 그 구조를 구비한 기록 매체에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to computer forensic disk imaging, and more particularly, to an image file format structure for storing and analyzing digital evidence and a recording medium having the structure.

본 발명은 정보통신부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다(과제관리번호: 2007-S-019-01, 과제명: 정보투명성 보장형 디지털 포렌식 시스템 개발(Development of Digital Forensic System for Information Transparency).The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Information and Communication (Task Management No .: 2007-S-019-01, Task name: Development of information transparency guaranteed digital forensic system (Development of Digital Forensic) System for Information Transparency.

최근 컴퓨터의 급속한 보급으로 인해 개인 생활의 많은 부분들이 컴퓨터와 연관성을 가지게 되었다. 이러한 추세에 따라 범죄 수사에 있어서도 여러 가지 중요한 증거들이 범죄자의 컴퓨터 시스템 혹은 이와 관련된 다양한 저장장치로부터 발견됨에 따라 관련 기관의 관심이 집중되고 있다. 미국 버클리 대학의 한 연구에 의하면 세계에서 생성되는 정보의 약 90% 이상이 디지털 형태로 만들어진다고 한 다. 이는 디지털 증거(Digital evidence)가 컴퓨터 해킹 등과 같은 컴퓨터 범죄뿐만 아니라 일반 범죄를 수사하는 경우에도 요긴하게 사용되고 법적 증거로 채택될 가능성이 커지고 있음을 말해준다. 일반적으로 컴퓨터 시스템에서 자료를 수집하는 단계로부터 이를 분석하고 분석된 자료에 대한 보고서를 작성하며 수집된 증거물의 원본 일치성을 보증하는 일련의 과정을 종합하여 '컴퓨터 포렌식(Computer forensic)'이라 정의한다. 따라서, 주요 국가의 주요 수사기관과 민감한 자료를 다루는 금융, 보험회사 등에서는 컴퓨터 포렌식(Computer Forensics) 분야의 중요성을 인식하고 전문가 및 다양한 관련 기술 확보뿐만 아니라 디지털 증거의 수집절차 및 분석방법 개발 등에 박차를 가하고 있는 실정이다.With the rapid spread of computers in recent years, many parts of personal life have become related to computers. This trend has attracted the attention of relevant agencies as a number of important evidences have been found in criminal computer systems or various storage devices associated with them. According to a study by the University of Berkeley, more than 90% of the world's information is produced in digital form. This indicates that digital evidence is likely to be useful and adopted as legal evidence when investigating general crimes as well as computer crimes such as computer hacking. Generally, it is defined as 'computer forensic' by analyzing the data from the stage of collecting data from the computer system, preparing a report on the analyzed data, and integrating a series of processes to ensure the original consistency of the collected evidence. . Therefore, major investigative agencies in major countries and financial and insurance companies dealing with sensitive data recognize the importance of computer forensics, and not only acquire experts and various related technologies, but also develop digital evidence collection procedures and analysis methods. The situation is adding.

한편, 디지털 증거가 저장된 하드디스크를 컴퓨터에 직접연결 후 조사 분석 과정을 실시하면, 디지털 증거가 물리적 논리적으로 손상되거나 변조될 우려가 있다. 그렇기 때문에 하드디스크에 저장된 저장 미디어의 내용과 완벽하게 같은 사본 파일(즉, 이미지 파일)을 작성하고, 그 파일을 사용해 조사분석을 실시하게 된다. 조사분석을 위해 저장 미디어의 내용을 비트 스트림 방식을 통해 파일 형태로 저장하는 일련의 행위를 디스크 이미징(Disk imaging)이라고 한다. 수집된 데이터 증거가 법적 증거물로 인정받기 위해서는 수사과정에서 데이터 증거가 손상되지 않아야 하며, 분석과정에서도 원본 파일이 아닌 이미지 파일로 수사를 하여야 한다. 디스크 이미징을 위한 다양한 하드웨어 장비와 소프트웨어 툴(Tool)들이 알려져 있다. 디스크 이미징에 의해 저장되는 파일은 크게 "Raw Data", "Formatted Data" 두 가지 형태로 분류될 수 있다. "Raw Data"형식은 순수한 디스크의 내용만을 저장하고 있는 방식으로 유닉스/리눅스 시스템이 제공하는 기본 명령어인 'dd'에 의해 획득될 수 있다. "Formatted Data"는 대부분의 상용 포렌식 툴들 혹은 최근의 이미징 관련 소프트웨어들이 지원하고 있다. "Formatted Data"는 순수 데이터에 다양한 부가정보들을 덧붙이거나 때로는 원본 데이터를 관리 목적으로 임의의 크기로 분할함으로써 얻어지는 형태이다. 가장 잘 알려진 포렌식 툴인 Encase를 포함하여 GPL 선언에 따라 개발 후 공개된 AFF가 "Formatted Data" 형태의 이미지 파일을 작성한다. 하지만, 최근 개인 사용자들에게도 100기가 바이트 이상의 대용량 하드디스크가 보편화되면서 컴퓨터 포렌식에 있어서도 증거획득과 분석에 대한 새로운 패러다임이 형성되고 있다. 따라서, 컴퓨터 포렌식을 위한 디스크 이미징에 있어서도 이러한 고용량 저장장치의 데이터 획득과 관리가 가능한 이미지 포맷이 요구되고 있다.On the other hand, if the hard disk containing the digital evidence is directly connected to a computer and the investigation and analysis process is performed, the digital evidence may be physically and logically damaged or altered. This creates a copy file (i.e., an image file) that is exactly the same as the contents of the storage media stored on the hard disk, and uses the file to perform an analysis. Disk imaging is a series of actions that store the contents of storage media in the form of files through the bit stream method for investigation and analysis. In order for the collected data evidence to be recognized as legal evidence, the data evidence must not be damaged during the investigation process, and the investigation must be conducted with an image file instead of the original file. Various hardware equipment and software tools for disk imaging are known. Files stored by disk imaging can be classified into two types, "Raw Data" and "Formatted Data". The "Raw Data" format can be obtained by the default command 'dd' provided by the Unix / Linux system in such a way that it only stores the contents of a pure disk. "Formatted Data" is supported by most commercial forensic tools or recent imaging software. "Formatted Data" is a form obtained by adding various additional information to pure data or sometimes dividing original data into arbitrary sizes for management purposes. AFF, developed and published under the GPL declaration, including the most well-known forensic tool Encase, creates an image file in the form of "Formatted Data". However, the recent popularization of large hard disks of more than 100 gigabytes for individual users is creating a new paradigm for evidence acquisition and analysis in computer forensics. Therefore, even in disk imaging for computer forensics, there is a demand for an image format capable of data acquisition and management of such a high capacity storage device.

하지만, 디스크 이미징(Disk imaging)을 위해 데이터 증거의 획득 및 저장 방법과 관련된 종래의 연구들은 조사자(Name of technician)나 디스크 이름(Name of the Source Name)과 같은 증거물(데이터 증거)과 관련한 여러 가지 부가적 기술정보들이 이미지 파일 헤더(Image file Header) 내에 고정적으로 정의되어 있다. 따라서, 향후 사용자가 추가적으로 증거물과 관련된 기술정보들을 파일에 추가하는 것이 불가능하고 암호화 방안도 제공하지 않고 있다.However, conventional studies relating to the acquisition and storage of data evidence for disk imaging have been carried out with regard to evidence (data evidence), such as the Name of technician or the Name of the Source Name. Additional descriptive information is fixedly defined in an image file header. Therefore, it is impossible for the user to add additional technical information related to the evidence to the file and does not provide an encryption method.

또한, 내부에 저장될 데이터의 기밀성을 제공하기 위한 규격이 정의되지 않고 있을 뿐만 아니라 불량 섹터(Bad Sector)의 위치를 기록하기 위한 방안도 제시되지 않고 있는 실정이다.In addition, a standard for providing confidentiality of data to be stored therein is not defined, and a method for recording a location of a bad sector is not provided.

본 발명은 상기한 바와 같은 문제점을 해결하기 위해 제안된 것으로서, 컴퓨터 저장매체로부터 획득한 디지털 증거와 관련된 기술정보들을 사용자가 자유롭게 첨부할 수 있도록 확장이 용이하며, 기밀성의 보장 및 그와 관련된 설정이 가능하도록 하는 것을 목적으로 한다. 또한, 이미지 파일 내의 특정 세그먼트 데이터로 빠르게 접근하여 해당 세그먼트 데이터 내부에서의 불량 섹터의 위치와 개수를 확인할 수 있도록 하는 것을 목적으로 한다.The present invention has been proposed to solve the above problems, and can be easily extended so that a user can freely attach technical information related to digital evidence obtained from a computer storage medium, ensuring confidentiality and setting related thereto. The purpose is to make it possible. It is also an object of the present invention to quickly access specific segment data in an image file so as to identify the location and number of bad sectors in the segment data.

본 발명의 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조에 있어서, 상기 이미지 파일 포맷 구조의 암호화 알고리즘 정보를 제공하는 파일 헤더부; 가변적인 길이를 가지며, 암호화 관련키 값을 제공하는 메타 데이터부; 원본 데이터가 기록되며, 상기 원본 데이터 내부의 불량 섹터 위치를 비트맵으로 표현하는 세그먼트 데이터부; 및 상기 세그먼트 데이터부의 위치 정보를 제공하는 파일 종결부를 포함한다.An image file format structure for storage and analysis of digital evidence of the present invention includes an image file format structure for storage and analysis of digital evidence, comprising: a file header unit for providing encryption algorithm information of the image file format structure; A meta data unit having a variable length and providing an encryption related key value; A segment data unit in which original data is recorded and expressing a bad sector position within the original data in a bitmap; And a file ending part for providing position information of the segment data part.

특히, 상기 암호화 알고리즘 정보는 상기 파일 헤더부 내의 프래그 영역에 기록되는 것이 바람직하다.In particular, the encryption algorithm information is preferably recorded in the flag area in the file header portion.

또한, 상기 프래그 영역에는 압축, 해쉬, 및 암호 제어를 위한 정보들이 기록되어 있는 것이 바람직하다.In addition, it is preferable that information for compression, hashing, and encryption control is recorded in the flag area.

또한, 상기 세그먼트 데이터부의 위치 정보는, 상기 이미지 파일 포맷 구조 의 시작으로부터 상기 세그먼트 데이터부까지의 길이를 바이트 단위로 나타낸 값인 것이 바람직하다.The positional information of the segment data portion is preferably a value representing the length from the start of the image file format structure to the segment data portion in bytes.

또한, 상기 세그먼트 데이터부는, 상기 원본 데이터의 압축 전 해쉬 값 또는 전자 서명 값이 기록되는 해쉬 값 영역을 포함하는 것이 바람직하다.The segment data unit preferably includes a hash value region in which a hash value or an electronic signature value before compression of the original data is recorded.

본 발명에 의한 이미지 파일은 내부 데이터의 종류나 형식에 구애를 받지 않는 메타데이터를 사용함으로써 가변적인 추가 정보의 입력이 자유롭다. 또한 기타 이미지 파일 포맷과는 달리 이미지 파일 자체의 보안을 고려하여 암호화 알고리즘의 설정을 파일 헤더에 명시할 수 있도록 하였다. The image file according to the present invention can freely input variable additional information by using metadata irrespective of the type or format of internal data. Unlike other image file formats, the encryption algorithm can be specified in the file header in consideration of the security of the image file itself.

또한, 암호화 관련키 값을 저장할 수 있는 메타 데이터를 정의함으로써 암/복호화가 명시적으로 이루어질 수 있도록 하였다. Also, by defining meta data that can store encryption-related key values, encryption / decryption can be done explicitly.

또한, 개별 해당 파일의 시작으로부터 이미지 파일 내의 세그먼트 데이터들이 가지는 상대적 위치들을 파일종결부 내에 인덱스 테이블 형태로 기술함으로써 각 세그먼트 데이터로의 고속 이동이 가능하다. In addition, by describing the relative positions of the segment data in the image file from the beginning of the respective corresponding file in the form of an index table at the end of the file, high-speed movement to each segment data is possible.

또한, 각 세그먼트 데이터에는 해당 세그먼트 내부의 불량 섹터들의 위치를 비트맵으로 표현하여 불량 섹터를 손쉽게 판별할 수 있도록 하였다.In addition, in each segment data, the positions of the bad sectors in the corresponding segment are expressed in a bitmap to easily identify the bad sectors.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서 동일한 구성에 대해서는 동일부호를 사용하며, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략하기로 한 다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. The same reference numerals are used for the same components, and repeated descriptions, well-known functions that may unnecessarily obscure the subject matter of the present invention, and detailed descriptions of the configurations will be omitted. Embodiments of the present invention are provided to more completely describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.

도 1은 본 발명에 따른 이미지 파일의 포맷 구조를 설명하기 위한 도면이다.1 is a view for explaining the format structure of an image file according to the present invention.

본 발명에 따른 디지털 증거의 저장 및 분석을 위한 이미지 파일(Image file)의 포맷 구조는 파일 헤더(10), 메타 데이터(20), 세그먼트 데이터(30), 및 파일 종결부(File footer, 40)를 포함하며, 메타 데이터(20)와 세그먼트 데이터(30)는 이미지 파일 내에서 복수로 존재할 수 있다. The format structure of an image file for storing and analyzing digital evidence according to the present invention is a file header 10, metadata 20, segment data 30, and file footer 40. The metadata 20 and the segment data 30 may exist in a plurality of image files.

그리고, 하나의 디지털 증거로부터 획득된 이미지 파일이 분할되어 저장되었을 경우에도 모든 이미지 파일이 도 1과 같은 구성으로 이루어진다.In addition, even when an image file obtained from one digital evidence is divided and stored, all the image files are configured as shown in FIG. 1.

도 2는 도 1의 파일 헤더(10)의 구조를 설명하기 위한 도면이다.FIG. 2 is a diagram for describing the structure of the file header 10 of FIG. 1.

파일 헤더(10)는 이미지 파일 포맷의 버전번호(101), 파일 헤더의 길이(102), 사건번호(103), 증거번호(104), 담당자 이름(105), 담당자 이름의 길이(106), 이미지 파일의 획득 날짜(107), 이미지 파일의 획득 시간(108), 증거 디스크의 사이즈(109), 이미지 세그먼트의 사이즈(110), 압축/해쉬/암호 제어를 위한 플래그(Flag, 111), 및 멀티 이미지 여부(112)를 포함한다.The file header 10 includes a version number 101 of an image file format, a length 102 of a file header, an incident number 103, an evidence number 104, a contact name 105, a length 106 of a contact name, Acquisition date 107 of the image file, acquisition time 108 of the image file, size 109 of the evidence disc, size 110 of the image segment, flags for compression / hash / password control (Flag, 111), and It includes whether the multi-image 112.

버전번호(101)는 이미지 파일 포맷의 버전 정보로서 이미지 파일 포맷의 버전(Version)번호를 나타내며, 1바이트(Byte) 길이(Size)를 가진다. 이때 1바이트 중, 상위 4비트(Bit)는 메이져(Major) 번호를 하위 4비트는 마이너(Minor)번호를 나타낸다. 예를 들면, 버전번호(101)가 0.9일 경우 버전번호(101)의 비트맵(Bitmap)은 '00001001'이 된다. 파일헤더 길이(102)는 파일 헤더의 바이트 길이를 나타내며, 1바이트 길이를 가진다. 따라서, 파일 헤더는 256바이트 이상의 길이를 가질 수 없다. 사건번호(103)는 본 발명의 이미지 포맷으로 획득된 증거물에 관련된 사건 번호(Case number)를 나타내며, 4바이트 길이를 가진다. 증거번호(104)는 사건번호(103)가 동일한 다수 개의 이미지 파일 중에서 본 이미지 파일에 부여된 일련 번호를 나타내며, 2바이트 길이를 가진다. 담당자 이름(105)은 0 바이트 이상 191바이트 이하의 길이를 가질 수 있으며 이미지 파일의 획득 혹은 분석을 담당하는 인물의 이름을 나타낸다. 담당자 이름의 길이(106)는 1바이트 길이를 가지며, 담당자 이름(105)의 길이를 나타낸다. 이미지 파일의 획득날짜(107)는 8바이트 길이를 가지며 본 발명의 이미지 파일 포맷에 따라 이미지 파일을 작성한 날짜 정보가 기입된다. 이미지 파일의 획득날짜(107)의 상위 4바이트는 해당 년도(Year)에 해당하는 4문자(Character)가 다음 2바이트에는 달(Month)에 해당되는 2문자가, 마지막 2바이트에는 날(Day)에 해당하는 2문자가 차례대로 기록된다. 예를 들어, 이미지 파일의 작성일이 2007년 7월 5이라면 이미지 파일의 획득날짜(107)의 8바이트에는 각각 '2', '0', '0', '7', '0', '7', '0', '5'의 문자가 기록된다. 이미지 파일의 획득시간(108)은 8바이트 길이를 가지며 본 발명의 이미지 파일 포맷에 따라 이미지 파일을 작성한 시간 정보가 기입되는데 이중 상위 2바이트에는 시각(Hour)에 해당하는 2문자가, 다음 2바이트에는 분에 해당하는 2문자가, 다음 2바이트에는 초(Second)에 해당하는 2문자가 기록된다. 마지막 2바이트엔 GMT timezone을 나타내는 값이 기록된다. 예를 들면, 대한민국 기준시(GMT timezone 이 +9)로 23시 12분 10초를 표현하기 위해서는 이미지 파일의 획득시간(108)의 초기 6바이트에 각각 ‘2’, ’3’, ’1’, ’2’, ’1’, ‘0’의 문자가, 다음 1바이트에는 ‘+’라는 문자가 기록되며 마지막 1바이트는 비트맵이 0x09가 된다. 증거디스크의 사이즈(109)는 8바이트 길이를 가지며 본 발명의 이미지 파일 포맷을 이용한 이미지 파일 작성의 대상이 되는 디지털 증거의 바이트 크기를 나타낸다. 따라서, 저장 용량이 264 바이트 이상인 저장 매체 혹은 264 바이트 이상의 크기를 가지는 데이터 파일에 대한 이미지 파일 작성에 대해서는 본 발명에 따른 이미지 파일 포맷의 사용이 권고되지 않는다. 이미지 세그먼트의 사이즈(110)는 8바이트 길이를 가지며, 세그먼트 데이터(30)에 포함되는 원본 데이터의 크기를 바이트단위로 나타낸다. 플래그(111)는 4바이트 길이를 가지며 여러 가지 부가적인 제어 정보(압축/해쉬/암호 제어를 위한 정보)들이 기입된다. 플래그(111)의 초기 4비트는 해쉬알고리즘을 나타내기 위한 것으로, 기록된 비트맵이 0x0일 경우는 MD5, 0x01일 경우 SHA-1, 0x2일 경우 RSA와 MD5를 이용한 전자서명, 0x3일 경우 RSA와 SHA-1을 이용한 전자서명, 0x4일 경우 DSA와 MD5를 이용한 전자서명, 0x5일 경우 DSA와 SHA-1을 이용한 전자서명을 사용함을 의미한다. 다음 2비트는 압축알고리즘을 나타내며 비트맵이 0x0일 경우는 무압축(No Compression)을, 0x1일 경우 zlib 사용을 의미한다. 다음 2비트는 압축의 강도를 의미하며 비트맵이 0x0은 zlib 에 의한 압축 레벨(level) 6 를 0x1일 경우 압축 레벨 9를 의미한다. 플래그(111)의 두 번째 1바이트는 사용된 암호화 알고리즘을 나타내는데 비트맵이 0x00일 경우 암호화를 사용하지 않음을 의미하며 0x01은 3DES, 0x02는 AES(128비트)를 사용하여 암호화함을 의미한다. 플래그(111)의 마지막 2바이트는 본 발명의 이미지 파일 포맷에 따른 이미지 파일의 시작으로부터 첫 번째 세그먼트 데이터(30)까지의 길이에 대한 바이트값을 나타낸다. 멀티이미지 여부(112)는 4바이트 길이를 가지며, 하나의 증거물로부터 획득된 데이터가 복수의 이미지 파일로 순차적으로 분할되었을 경우 분할 여부와 전체 분할 파일 집합에서 해당 파일의 위치를 나타내는 정보가 기록된다. 여기서, 첫 번째 바이트는 0x00, 0x01, 0x03의 비트맵만을 가져야 하며 이는 각각 '단일이미지 파일', '분할이미지 파일', '분할 이미지 파일의 끝'을 의미한다. The version number 101 indicates a version number of the image file format as version information of the image file format, and has a length of 1 byte. At this time, the upper 4 bits (Bit) of the 1 byte, the major (Major) number and the lower 4 bits represent the minor (Minor) number. For example, when the version number 101 is 0.9, the bitmap of the version number 101 becomes '00001001'. The file header length 102 represents the byte length of the file header and has a length of one byte. Thus, the file header cannot have a length greater than 256 bytes. The case number 103 represents a case number related to the evidence obtained in the image format of the present invention and has a length of 4 bytes. The evidence number 104 indicates a serial number assigned to the image file among the plurality of image files having the same case number 103, and has a length of 2 bytes. The person in charge name 105 may have a length of 0 bytes or more and 191 bytes or less and represents a name of a person in charge of obtaining or analyzing an image file. The length 106 of the contact name is one byte long and represents the length of the contact name 105. The acquisition date 107 of the image file is 8 bytes long and the date information on which the image file was created is written according to the image file format of the present invention. The upper 4 bytes of the acquisition date (107) of the image file are 4 characters corresponding to the year, 2 characters corresponding to the month for the next 2 bytes, and day for the last 2 bytes. The two characters corresponding to are recorded in order. For example, if the creation date of the image file is July 5, 2007, the eight bytes of the acquisition date 107 of the image file include '2', '0', '0', '7', '0', and '7'. The characters', '0' and '5' are recorded. The acquisition time 108 of the image file is 8 bytes long and the time information for creating the image file is written according to the image file format of the present invention. Of these, the upper two bytes include two characters corresponding to the hour, and the next two bytes. Two characters corresponding to minutes are recorded, and two characters corresponding to seconds are recorded in the next two bytes. In the last 2 bytes, a value indicating the GMT timezone is recorded. For example, in order to express 23:12:10 seconds in Korean standard time (GMT timezone is +9), '2', '3', and '1' are respectively displayed in the initial 6 bytes of the acquisition time 108 of the image file. , Characters '2', '1', and '0' are recorded, and the character '+' is recorded in the next 1 byte, and the last 1 byte is 0x09. The size of the evidence disc 109 is 8 bytes long and indicates the byte size of the digital evidence which is the object of image file creation using the image file format of the present invention. Therefore, the use of the image file format according to the present invention is not recommended for the creation of an image file for a storage medium having a storage capacity of 2 64 bytes or more or a data file having a size of 2 64 bytes or more. The size 110 of the image segment has a length of 8 bytes, and indicates the size of the original data included in the segment data 30 in bytes. The flag 111 is 4 bytes long and various additional control information (information for compression / hash / password control) is written. The initial 4 bits of the flag 111 are for indicating the hash algorithm. The recorded bitmap is 0x0 for MD5, 0x01 for SHA-1, 0x2 for RSA and MD5 for digital signature, and 0x3 for RSA. And digital signature using SHA-1, 0x4 means digital signature using DSA and MD5, and 0x5 means digital signature using DSA and SHA-1. The next 2 bits represent the compression algorithm. If the bitmap is 0x0, it means No Compression. If 0x1, zlib is used. The next two bits represent the strength of compression, and 0x0 means the compression level 9 when zx is 0x1 and the compression level 6 is 0x1. The second 1 byte of the flag 111 indicates the encryption algorithm used. If the bitmap is 0x00, it means that no encryption is used. 0x01 means 3DES and 0x02 means encryption using AES (128 bits). The last two bytes of the flag 111 represent the byte value for the length from the start of the image file to the first segment data 30 according to the image file format of the present invention. The multi-image 112 has a length of 4 bytes, and when data obtained from one evidence is sequentially divided into a plurality of image files, information indicating whether the file is divided and the location of the file in the entire divided file set is recorded. Here, the first byte should have only bitmaps of 0x00, 0x01, and 0x03, which means 'single image file', 'split image file' and 'end of split image file', respectively.

도 3은 도 1의 메타데이터(20)의 구조를 설명하기 위한 도면이다.3 is a view for explaining the structure of the metadata 20 of FIG.

도 3에 도시된 바와 같이, 메타데이터(20)는 식별 번호(201), 총 길이(202), 및 메타데이터 내용(203)을 포함한다.As shown in FIG. 3, metadata 20 includes identification number 201, total length 202, and metadata content 203.

식별 번호(201)는 1바이트 길이를 가지며, 메타데이터를 구분하기 위한 식별번호(Identification Number)를 나타낸다. 따라서, 본 발명의 이미지 파일 포맷에 따르면 최대 256개의 메타데이터가 정의되어 사용될 수 있다. 총 길이(202)는 메타데이터의 길이에 대한 바이트 값을 나타내며, 4바이트 길이를 가진다. 메타데이터 내용(203)은 가변 길이를 가지며 메타데이터별 정의에 따라 다양한 정보를 가질 수 있다. 본 발명의 일실시예에 따른 메타데이터의 식별번호(201) 및 메타데이터 내 용(203)을 정리하면 표 1과 같다. 표 1은 기재된 식별번호(201) 및 메타데이터 내용(203)은 본 발명의 이해를 돕기 위함이며, 이에 국한되는 것은 아님을 밝혀둔다.The identification number 201 has a length of 1 byte and represents an identification number for identifying metadata. Therefore, according to the image file format of the present invention, up to 256 metadata may be defined and used. The total length 202 represents a byte value for the length of the metadata and is 4 bytes long. The metadata content 203 has a variable length and may have various information according to the definition for each metadata. Table 1 summarizes the identification number 201 and the metadata content 203 of the metadata according to an embodiment of the present invention. Table 1 indicates that the identification number 201 and the metadata content 203 described are intended to assist the understanding of the present invention, but are not limited thereto.

식별 번호Identification number 메타데이터 내용Metadata content 특이사항Uniqueness 0x000x00 디스크 serial numberDisk serial number 0x010x01 디스크 제조사 & 모델명Disc make & model 0x020x02 디스크 드라이브 기술명Disk Drive Technology Name 0x030x03 디스크 용량(크기/섹터수/섹터당 바이트수)Disk capacity (size / sectors / bytes per sector) 0x040x04 운영체제 및 버전정보OS and Version Information 0x050x05 전체 이미지 파일에서 불량 섹터 개수 및 위치Bad sector count and location in the entire image file 0x060x06 이미지 툴 및 버전 정보(dd의 경우는 명령식도 표현)Image tool and version information (in the case of dd, command expression also) 0x070x07 Unique Identifier for this fileUnique Identifier for this file 0x080x08 RSA public key로 암호화된 블록 암호화 키, 따라서 private key로 복호화된 암호 알고리즘에 따라 Split. - 3DES = 192bit = 24 bytes - AES128 = 128bit = 16bytes 실제 암호화는 연결된 세그먼트 데이터들을 모두 하나의 입력문으로 간주해서 암호화함. 따라서, 파일 헤더, 메타데이터, 파일 종결부는 암호화 범주에서 벗어남.A block encryption key encrypted with an RSA public key, thus Split. -3DES = 192bit = 24 bytes-AES128 = 128bit = 16bytes Actual encryption encrypts all the segment data as a single input statement. Thus, file headers, metadata, and file terminators fall outside the encryption category. { char key[24 or 16]; } 위부분이 공개키로 암호화된다. 파일 헤더의 프래그 필드에서 암호화 알고리즘 사용이 체크되었을 경우, 파일 헤더의 바로 다음에 위치함.{char key [24 or 16]; } The upper part is encrypted with the public key. Immediately after the file header, if Use Encryption Algorithm is checked in the Fragment field of the file header. 0x090x09 전체 이미지 파일을 입력 데이터로 한 해쉬 값을 가진다.Has a hash value with the entire image file as input data. 0xff0xff 메타 데이터의 끝을 알리며 파일 헤더로부터 본 세그먼트 데이터이전까지의 해쉬 값을 저장한다.It indicates the end of meta data and stores the hash value from the file header to the previous segment data.

기본적으로 메타데이터(20)는 복잡하지 않은 포맷과 가변적인 데이터 길이를 사용하기 때문에 사용자가 임의로 새로운 메타데이터 형을 추가할 수 있으며 항상 이미지 파일 내에 존재할 필요도 없다.Basically, since metadata 20 uses an uncomplicated format and variable data length, users can add new metadata types arbitrarily and do not always need to exist in an image file.

도 4는 도 1의 세그먼트데이터(30)의 구조를 설명하기 위한 도면이다.4 is a view for explaining the structure of the segment data 30 of FIG.

도 4에 도시된 바와 같이, 세그먼트데이터(30)는 세그먼트 번호(301), 세그먼트 길이(302), 원본 데이터(303), 세그먼트데이터의 전체크기(304), 불량 섹터의 개수(305), 불량 섹터의 위치(306), 해쉬값(307)을 포함한다.As shown in FIG. 4, the segment data 30 includes a segment number 301, a segment length 302, original data 303, a total size 304 of segment data, a number of bad sectors 305, and a bad number. The position 306 of the sector and the hash value 307.

세그먼트 번호(301)는 세그먼트데이터의 번호(Number)를 나타내고 8바이트 길이를 가지며, 최상위 1비트가 1인 경우에는 이미지 파일 내에서 해당 세그먼트데이터가 마지막 세그먼트데이터임을 나타낸다. 그리고, 나머지 63비트는 세그먼트데이터의 순서값을 나타낸다. 예를 들어, 32768바이트의 크기를 가지는 증거 디스크를 본 발명에 따른 이미지 파일 포맷으로 하나의 이미지 파일을 작성할 경우 증거 디스크의 사이즈(109)의 비트맵과 멀티이미지 여부(112)의 최상위 1바이트의 비트맵은 각각'0x0000000000002000'과 ‘0x0’이 된다. 만약 이미지 세그먼트의 사이즈(110)의 비트맵을 '0x0000000000000008'으로 설정했다면 이는 원본을 8킬로바이트(=8192바이트) 단위로 분할하여 세그먼트데이터에 포함한다는 의미가 되므로 전체 세그먼트데이터의 개수는 4(=32768/8192)개가 된다. 따라서, 원본의 첫 번째 8킬로바이트가 포함된 세그먼트데이터의 세그먼트 번호(301)의 비트맵은 '0x0000000000000000'이, 두 번째 8킬로바이트가 포함된 세그먼트데이터의 세그먼트 번호(301)의 비트맵은 '0x0000000000000001'이 된다. 세그먼트 길이(302)는 8바이트 길이를 가지며 세그먼트데이터 내에서 원본 데이터(303)의 바이트 크기를 나타낸다. 만약 압축이 이루어졌다면 압축 후의 바이트 크기를 기록한다. 따라서, 압축이 이루어지지 않았다면, 증거 디스크 내용 중 세그먼트 데이터에 포함되는 원본 데이터(303)의 크기가 기록된 이미지 세그먼트의 사이즈(110)의 값과 세그먼트 길이(302)에 기록된 값은 동일하여야 하고, 압축이 이루어졌다면 세그먼트 길이(302)에 기록된 값은 이미지 세그먼트의 사이즈(110)의 값보다 작아야만 한다. 원본 데이터(303)는 세그먼트데이터에 포함된 원본의 내용을 나타내며, 8바이트 길이를 가진다. 세그먼트데이터의 전체크기(304)는 세그먼트데이터의 전체 크기를 나타내며, 8바이트 길이를 가진다. 불량 섹터의 개수(305)는 8바이트 길이를 가지며 세그먼트데이터에 포함된 원본의 내용 중 불량 섹터(Bad sector)의 개수를 나타낸다. 당업계의 관례적 사용에 따라 섹터의 크기는 512바이트 길이를 갖는 것으로 가정한다. 불량 섹터의 위치(306)는 이미지 세그먼트의 사이즈(110)의 비트맵 값을 10진수로 환산한 값의 2배에 해당하는 길이를 가지며, 원본 데이터(303)에 저장되는 압축되지 않은 원본 데이터의 각 섹터에 대한 비트맵을 가진다. 즉, 세그먼트의 사이즈(110)의 비트맵이 '0x0000000000002000’이라면 세그먼트데이터에 포함되는 원본의 크기가 8킬로바이트가 되므로 16개가 섹터로 이루어진다. 이런 경우 불량섹터의 위치(306)는 2바이트 길이를 가지게 되며 각각의 비트가 개별 섹터에 대응되고 불량 섹터의 해당 비트는 1로 세팅된다. 따라서, 원본 데이터(303)에 기록된 원본의 내용 중 불량 섹터의 위치를 표시할 수 있게 된다. 해쉬 값(Hash value, 307)에는 원본 데이터(303)에 기록되는 압축 전 원본의 해쉬값 또는 전자 서명 값이 기록되며, 그 크기와 사용하는 알고리즘은 플래그(111)의 최상위 4비트의 비트맵에 따라 길이가 달라진다. 최상위 4비트의 비트맵이 0x0, 0x2, 0x4일 경우 MD5 알고리즘을 사용하며 16바이트(=128비트)길이를 가지고, 비트맵이 0x1, 0x3, 0x5일 경우 SHA-1알고리즘을 사용하며 20바이트(=160비트) 길이를 가진다.The segment number 301 indicates the number of segment data and has 8 bytes in length. When the most significant 1 bit is 1, the segment number 301 indicates that the segment data is the last segment data in the image file. The remaining 63 bits represent an order value of segment data. For example, when an evidence disk having a size of 32768 bytes is used to create one image file in the image file format according to the present invention, the bitmap of the size of the evidence disk 109 and the most significant 1 byte of the multi-image 112 are present. The bitmaps are '0x0000000000002000' and '0x0', respectively. If the bitmap of the image segment size 110 is set to '0x0000000000000008', this means that the original is divided into 8 kilobytes (= 8192 bytes) and included in the segment data. Therefore, the total number of segment data is 4 (= 32768). / 8192). Therefore, the bitmap of the segment number 301 of the segment data including the first 8 kilobytes of the original is '0x0000000000000000' and the bitmap of the segment number 301 of the segment data including the second 8 kilobytes is '0x0000000000000001' Becomes Segment length 302 is eight bytes long and represents the byte size of the original data 303 in the segment data. If compression is done, record the byte size after compression. Therefore, if the compression is not performed, the value of the size 110 of the image segment in which the size of the original data 303 included in the segment data among the evidence disk contents and the value recorded in the segment length 302 should be the same. If compression has been made, then the value recorded in segment length 302 should be less than the value of size 110 of the image segment. The original data 303 represents the content of the original included in the segment data and has a length of 8 bytes. The total size 304 of the segment data represents the total size of the segment data and has a length of 8 bytes. The number of bad sectors 305 is 8 bytes long and represents the number of bad sectors among the contents of the original included in the segment data. According to conventional use in the art, the size of a sector is assumed to be 512 bytes long. The location 306 of the bad sector has a length corresponding to twice the decimal value of the bitmap value of the size 110 of the image segment, and is the length of the uncompressed original data stored in the original data 303. It has a bitmap for each sector. That is, if the bitmap of the segment size 110 is '0x0000000000002000', the original size included in the segment data becomes 8 kilobytes, and thus 16 pieces are composed of sectors. In this case, the location 306 of the bad sector is two bytes long and each bit corresponds to an individual sector and the corresponding bit of the bad sector is set to one. Therefore, the position of the bad sector among the contents of the original recorded in the original data 303 can be displayed. In the hash value 307, a hash value or an electronic signature value of a pre-compression source recorded in the source data 303 is recorded. Depends on the length. If the most significant 4-bit bitmap is 0x0, 0x2, 0x4, it uses MD5 algorithm and has 16 bytes (= 128 bits) length. If the bitmap is 0x1, 0x3, 0x5, it uses SHA-1 algorithm and 20 bytes ( = 160 bits).

도 5는 도 1의 파일 종결부(40)의 구조를 설명하기 위한 도면이다.FIG. 5 is a diagram for explaining the structure of the file terminator 40 of FIG. 1.

도 5에 도시된 바와 같이, 파일 종결부(40)는 엔트리 사이즈(401), 테이블 사이즈(402), 인덱스 테이블(403), 해쉬값(404)을 포함한다.As shown in FIG. 5, the file terminator 40 includes an entry size 401, a table size 402, an index table 403, and a hash value 404.

엔트리 사이즈(401)는 1바이트 길이를 가지며 인덱스 테이블(403)에 포함되는 엔트리(Entry)의 기본 단위를 바이트로 나타내며 비트맵이 0x00일 경우 인덱스 테이블(403)은 이미지 파일 내에 존재하지 않아야 한다. 테이블 사이즈(402)는 7바이트 길이를 가지며 인덱스 테이블(403)에 포함될 엔트리의 개수를 나타낸다. 인덱스 테이블(403)은 엔트리 사이즈(401)에 기입된 엔트리 크기와 테이블 사이즈(402)에 기입된 엔트리 개수의 곱에 해당하는 값만큼의 길이를 갖는다. 인덱스 테이블(403)에 기입되는 개별 엔트리는 본 발명의 데이터 포맷에 의해 작성된 이미지 파일의 시작으로부터 각 세그먼트 데이터의 길이를 바이트 단위로 나타낸 값을 가진다. 따라서, 기본 데이터 단위는 본 발명의 데이터 포맷을 사용한 이미지 파일의 시작으로부터 각 세그먼트데이터들의 거리를 바이트 단위로 나타낸 값을 가진다. 도 5의 설명에서 예를 든 것처럼 만약 32768바이트의 디스크를 8킬로바이트씩 세그먼트데이터에 포함하고 하나의 이미지 파일로 만든다면 모두 4개의 세그먼트데이터가 생기게 된다. 이럴 경우 테이블 사이즈(402)의 비트맵은‘0x0000000000000004’이 된다. 엔트리 사이즈(401)의 경우는 최종적인 이미지 파일의 크기가 기입되는 것이 이상적이다. 하지만, 이는 인덱스 파일을 작성하는 단계에서 정확하게 예측할 수 없다. 다만, 엔트리 사이즈(401)의 비트맵을 0x04로 설정할 경우 엔트리가 4바이트 크기를 가지고 이는 4G(=232) 바이트의 파일 크기를 표현할 수 있으므로 현실적으로도 충분히 사용할 수 있다. 인덱스 테이블(403)을 이용할 경우 개별 세그먼트데이터로의 접근이 순차적이 아니라 테이블을 이용한 임의 접근(Random Access)수준으로 이루어 질 수 있다. 해쉬값(404)은 각 세그먼트 데이터에 포함된 해쉬값(307)을 연접(Concatenation)한 후, 해쉬 함수에 적용한 결과값이 기록된다. 플래그(111)의 최상위 4비트값의 비트맵이 0x0일 경우 MD5만 적용하고 그 결과인 16바이트(=128비트)를 기록한다. 플래그(111)의 최상위 4비트값의 비트맵이 0x1일 경우 SHA-1만 적용하고 그 결과인 20바이트(=160비트)를 기록한다. 플래그(111)의 최상위 4비트 값의 비트맵이 0x02일 경우 MD5결과를 RSA 비밀키(private key)로 암호화하고 그 결과인 128바이트(=1024비트)를 기록한다. 플래그(111)의 최상위 4비트 값의 비트맵이 0x03일 경우 SHA-1결과를 RSA 비밀키로 암호화하고 그 결과인 128바이트(=1024비트)를 기록한다. 플래그(111)의 최상위 4비트 값의 비트맵이 0x04일 경우 MD5결과를 DSA 알고리즘으로 암호화하고 그 결과인 128바이트(=1024비트)를 기록한다. 플래그(111)의 최상위 4비트 값의 비트맵이 0x04일 경우 SHA-1 결과를 DSA 알고리즘으로 암호화하고 그 결과인 128바이트(=1024비트)를 기록한다.The entry size 401 has a length of 1 byte and indicates the basic unit of an entry included in the index table 403 in bytes. If the bitmap is 0x00, the index table 403 should not exist in the image file. The table size 402 is 7 bytes long and indicates the number of entries to be included in the index table 403. The index table 403 has a length corresponding to the product of the entry size written in the entry size 401 and the number of entries written in the table size 402. Each entry written to the index table 403 has a value indicating the length of each segment data in bytes from the beginning of the image file created by the data format of the present invention. Accordingly, the basic data unit has a value representing the distance of each segment data in bytes from the start of the image file using the data format of the present invention. As illustrated in the description of FIG. 5, if a 32768-byte disk is included in the segment data by 8 kilobytes and made into one image file, four segment data will be generated. In this case, the bitmap of the table size 402 becomes '0x0000000000000004'. In the case of the entry size 401, it is ideal that the size of the final image file is written. However, this cannot be accurately predicted at the stage of creating the index file. However, when the bitmap of the entry size 401 is set to 0x04, the entry has a 4-byte size, which can represent a file size of 4G (= 2 32 ) bytes, and thus can be sufficiently used in reality. When using the index table 403, access to individual segment data may be performed at a random access level using the table rather than sequentially. The hash value 404 is concatenated with the hash value 307 included in each segment data, and the result value applied to the hash function is recorded. If the bitmap of the most significant 4-bit value of the flag 111 is 0x0, only MD5 is applied and the resulting 16 bytes (= 128 bits) are recorded. If the bitmap of the most significant 4-bit value of the flag 111 is 0x1, only SHA-1 is applied and the resulting 20 bytes (= 160 bits) are recorded. If the bitmap of the most significant 4-bit value of the flag 111 is 0x02, the MD5 result is encrypted with an RSA private key and the resulting 128 bytes (= 1024 bits) are recorded. If the bitmap of the highest 4-bit value of the flag 111 is 0x03, the SHA-1 result is encrypted with the RSA secret key, and the result 128 bytes (= 1024 bits) are recorded. If the bitmap of the most significant 4-bit value of the flag 111 is 0x04, the MD5 result is encrypted by the DSA algorithm and the result 128 bytes (= 1024 bits) are recorded. If the bitmap of the highest 4-bit value of the flag 111 is 0x04, the SHA-1 result is encrypted by the DSA algorithm, and the result 128 bytes (= 1024 bits) are recorded.

이상 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형 실시예들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져는 안될 것이다.While the preferred embodiments of the present invention have been shown and described, the present invention is not limited to the specific embodiments described above, and the present invention is not limited to the specific embodiments of the present invention, without departing from the spirit of the invention as claimed in the claims. Various modifications may be made by those skilled in the art, and these modifications should not be individually understood from the technical spirit or the scope of the present invention.

도 1은 본 발명에 따른 이미지 파일의 포맷 구조를 설명하기 위한 도면이1 is a view for explaining the format structure of an image file according to the present invention

다.All.

도 2는 도 1의 파일 헤더의 구조를 설명하기 위한 도면이다.FIG. 2 is a diagram for describing the structure of a file header of FIG. 1.

도 3은 도 1의 메타 데이터의 구조를 설명하기 위한 도면이다.FIG. 3 is a diagram for describing the structure of meta data of FIG. 1.

도 4는 도 1의 세그먼트 데이터의 구조를 설명하기 위한 도면이다.FIG. 4 is a diagram for describing a structure of segment data of FIG. 1.

도 5는 도 1의 파일 종결부의 구조를 설명하기 위한 도면이다.FIG. 5 is a diagram for describing the structure of the file terminator of FIG. 1.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10 : 파일 헤더 20 : 메타 데이터10: file header 20: metadata

30 : 세그먼트 데이터 40 : 파일종결부30: segment data 40: end of file

Claims (10)

삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체에 있어서,A recording medium in which data is recorded in an image file format structure for storing and analyzing digital evidence, 상기 이미지 파일 포맷 구조는,The image file format structure is 암호화 알고리즘 정보를 제공하는 파일 헤더부; 가변적인 길이를 가지며, 암호화 관련키 값을 제공하는 메타 데이터부; 원본 데이터가 기록되며, 상기 원본 데이터 내부의 불량 섹터 위치를 비트맵으로 표현하는 세그먼트 데이터부; 및 상기 세그먼트 데이터부의 위치 정보를 제공하는 파일 종결부를 포함하는 것을 특징으로 하는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체.A file header unit for providing encryption algorithm information; A meta data unit having a variable length and providing an encryption related key value; A segment data unit in which original data is recorded and expressing a bad sector position within the original data in a bitmap; And a file ending portion for providing position information of the segment data portion, wherein the data is recorded in an image file format structure for storing and analyzing digital evidence. 청구항 6에 있어서,The method according to claim 6, 상기 암호화 알고리즘 정보는 상기 파일 헤더부 내의 프래그 영역에 기록되는 것을 특징으로 하는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체.And the encryption algorithm information is recorded in a flag area in the file header unit. The recording medium in which data is recorded in an image file format structure for storing and analyzing digital evidence. 청구항 7에 있어서,The method of claim 7, 상기 프래그 영역에는 압축, 해쉬, 및 암호 제어를 위한 정보들이 기록되어 있는 것을 특징으로 하는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체.And recording data in an image file format structure for storing and analyzing digital evidence, characterized in that information for compression, hashing, and encryption control is recorded in the flag area. 청구항 6에 있어서,The method according to claim 6, 상기 세그먼트 데이터부의 위치 정보는,Position information of the segment data portion, 상기 이미지 파일 포맷 구조의 시작으로부터 상기 세그먼트 데이터부까지의 길이를 바이트 단위로 나타낸 값인 것을 특징으로 하는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체.And a length in bytes of the length from the start of the image file format structure to the segment data portion, wherein data is recorded in the image file format structure for storage and analysis of digital evidence. 청구항 6에 있어서,The method according to claim 6, 상기 세그먼트 데이터부는,The segment data unit, 상기 원본 데이터의 압축 전 해쉬 값 또는 전자 서명 값이 기록되는 해쉬 값 영역을 포함하는 것을 특징으로 하는 디지털 증거의 저장 및 분석을 위한 이미지 파일 포맷 구조로 데이터가 기록된 기록 매체.And a hash value area in which a hash value or an electronic signature value is recorded before compression of the original data.
KR1020070132715A 2007-12-17 2007-12-17 Image file format for storing digital evidence from computer storages and recoding medium thereof KR100952470B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070132715A KR100952470B1 (en) 2007-12-17 2007-12-17 Image file format for storing digital evidence from computer storages and recoding medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070132715A KR100952470B1 (en) 2007-12-17 2007-12-17 Image file format for storing digital evidence from computer storages and recoding medium thereof

Publications (2)

Publication Number Publication Date
KR20090065237A KR20090065237A (en) 2009-06-22
KR100952470B1 true KR100952470B1 (en) 2010-04-13

Family

ID=40993636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070132715A KR100952470B1 (en) 2007-12-17 2007-12-17 Image file format for storing digital evidence from computer storages and recoding medium thereof

Country Status (1)

Country Link
KR (1) KR100952470B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101900026B1 (en) 2018-03-22 2018-09-18 주식회사 인즈시스템 Cross-validation system for mobile forensic solution that can prevent false detection and improve integrity

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040125208A1 (en) 2002-09-30 2004-07-01 Malone Michael F. Forensic communication apparatus and method
KR20050087349A (en) * 2004-02-26 2005-08-31 엘지전자 주식회사 Package file format for resource managing and method of resource management
KR20070096429A (en) * 2006-03-24 2007-10-02 부산대학교 산학협력단 Fast mounting for a file system on nand flash memory

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040125208A1 (en) 2002-09-30 2004-07-01 Malone Michael F. Forensic communication apparatus and method
KR20050087349A (en) * 2004-02-26 2005-08-31 엘지전자 주식회사 Package file format for resource managing and method of resource management
KR20070096429A (en) * 2006-03-24 2007-10-02 부산대학교 산학협력단 Fast mounting for a file system on nand flash memory

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101900026B1 (en) 2018-03-22 2018-09-18 주식회사 인즈시스템 Cross-validation system for mobile forensic solution that can prevent false detection and improve integrity

Also Published As

Publication number Publication date
KR20090065237A (en) 2009-06-22

Similar Documents

Publication Publication Date Title
US7949693B1 (en) Log-structured host data storage
KR101188886B1 (en) System and method for managing genetic information
KR101506578B1 (en) File system configuration method and apparatus for data security, method and apparatus for accessing data security area formed by the same, and data storage device thereby
US8683228B2 (en) System and method for WORM data storage
JP4135762B1 (en) Document management program and system
US9087207B2 (en) Obtaining complete forensic images of electronic storage media
Reardon et al. Secure data deletion
JP2008542865A (en) Digital proof bag
CN111324901A (en) Method for creating and decrypting enterprise security encrypted file
Hausknecht et al. Anti-computer forensics
KR100952470B1 (en) Image file format for storing digital evidence from computer storages and recoding medium thereof
Flaglien et al. Storage and exchange formats for digital evidence
Raychaudhuri A Comparative Study of Analysis and Extraction of Digital Forensic Evidences from exhibits using Disk Forensic Tools.
Prem et al. Disk memory forensics: Analysis of memory forensics frameworks flow
Shayau et al. Digital forensics investigation reduction model (DIFReM) framework for Windows 10 OS
Garfinkel Aff and aff4: Where we are, where we are going, and why it matters to you
Richard et al. File system support for digital evidence bags
Roussev System Analysis
KR20230112310A (en) System of forensic for selectively extracting and analyzing of target data by remote networking.
US20130036474A1 (en) Method and Apparatus for Secure Data Representation Allowing Efficient Collection, Search and Retrieval
Nugis Forensic Data Properties of Digital Signature BDOC and ASiC-E Files on Classic Disk Drives
KR20230112309A (en) System of forensic for analyzing target data by selectively sorting and mapping
Mishra Acquisition of data from windows and mac via digital collector
Tiwari Blockchain and forensics
Hegstrom Use of forensic corpora in validation of data carving on solid-state drives

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130325

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee