KR100987064B1 - Digital forensic system by use of virtual environment and method therefor - Google Patents

Digital forensic system by use of virtual environment and method therefor Download PDF

Info

Publication number
KR100987064B1
KR100987064B1 KR1020090086061A KR20090086061A KR100987064B1 KR 100987064 B1 KR100987064 B1 KR 100987064B1 KR 1020090086061 A KR1020090086061 A KR 1020090086061A KR 20090086061 A KR20090086061 A KR 20090086061A KR 100987064 B1 KR100987064 B1 KR 100987064B1
Authority
KR
South Korea
Prior art keywords
evidence
virtual
analysis
user terminal
data
Prior art date
Application number
KR1020090086061A
Other languages
Korean (ko)
Inventor
박용갑
Original Assignee
유앤아이비즈니스솔루션 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 유앤아이비즈니스솔루션 (주) filed Critical 유앤아이비즈니스솔루션 (주)
Priority to KR1020090086061A priority Critical patent/KR100987064B1/en
Application granted granted Critical
Publication of KR100987064B1 publication Critical patent/KR100987064B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PURPOSE: A system and a method of digital forensic using virtual environment are provided to save a space and cost by removing the need about a proof analyzing device of high cost. CONSTITUTION: An evidence analyzing unit(104) analyzes the proof evidences by using digital forensic data which is collected from an evidence collecting unit(106). A virtual switch(105) connects the user terminal and the evidence analyzing unit. A virtual server(102) generates virtual working environment for analyzing proof data on a user terminal. After performing requested analyzing, the virtual server provides analyze result to the virtual working environment.

Description

가상 환경을 이용한 디지털 포렌식 시스템 및 방법{DIGITAL FORENSIC SYSTEM BY USE OF VIRTUAL ENVIRONMENT AND METHOD THEREFOR}Digital forensic system and method using virtual environment {DIGITAL FORENSIC SYSTEM BY USE OF VIRTUAL ENVIRONMENT AND METHOD THEREFOR}

본 발명은 디지털 포렌식 서버(digital forensic server)에 관한 것으로, 특히 워크 스테이션(work station) 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버(virtual server) 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크(network)를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있도록 하는 가상 환경을 이용한 디지털 포렌식 시스템 및 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a digital forensic server, and more particularly to a cost-effective evidence analysis device for evidence analysis that is provided independently in the form of a work station, a virtual server of a digital forensic system. By virtually implementing logical partitioning on the network, it can be used by a large number of user terminals through a network, enabling evidence analysis without the need for an expensive evidence analysis device independently and improving the efficiency of evidence analysis. The present invention relates to a digital forensic system and method using a virtual environment.

최근 들어, 컴퓨터(computer)의 급속한 보급으로 인해 개인 생활의 많은 부분들이 컴퓨터와 연관성을 가지게 되었다. 이러한 추세에 따라 범죄 수사에 있어서도 여러 가지 중요한 증거들이 범죄자와 컴퓨터 시스템 혹은 이와 관련된 다양한 저장장치로부터 발견됨에 따라 관련 기관의 관심이 집중되고 있다.In recent years, the rapid spread of computers has led many parts of personal life to be associated with computers. In response to this trend, the attention of related agencies is attracting attention as criminal evidence is found in criminals and computer systems or various storage devices.

디지털 포렌식(digital forensic)은 컴퓨터, PDA(personal digital assistant) 및 휴대전화(mobile phone) 등에 내장된 디지털 자료를 근거로 사건에서 발생한 사실 관계를 증명하는 첨단 수사방식을 말하는 것으로, 일반적으로 컴퓨터 등에 내장된 디지털 저장매체(digital storing media)에서 디지털 데이터 자료를 수집하는 단계로부터 이를 분석하고 분석된 자료에 대한 보고서를 작성하며 수집된 증거물의 원본 일치성을 보증하는 일련의 과정을 말한다.Digital forensic is a state-of-the-art investigative method that proves the facts that occurred in an event based on digital data embedded in computers, personal digital assistants, and mobile phones. It is a series of processes to analyze digital data from the digital storing media and to prepare a report on the analyzed data and to ensure the original correspondence of the collected evidence.

즉, 디지털 포렌식은 컴퓨터 등에 내장된 디지털 데이터 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법으로, 주로 국가의 주요 수사기관과 금융, 보험회사 등에서 디지털 증거를 수집하고 이를 분석하는데 이용되고 있다.In other words, digital forensics is a technique that identifies and proves the facts of an action that takes place on the basis of digital data stored in a computer, mainly through major investigative agencies, finance and insurance companies in the country. Is used to collect and analyze them.

위와 같은 디지털 포렌식 기법이 적용되는 디지털 포렌식 시스템은 도 1에서 보여지는 바와 같이, 크게 디지털 데이터 자료로부터 원본 데이터를 변경하지 않도록 데이터를 이미징(imaging)을 통해 복제하여 수집하는 증거 수집 장치(A)와, 증거 수집 장치(A)로부터 수집된 증거 자료를 이용하여 사실 관계의 확인을 위한 다양한 증거 분석을 수행할 수 있는 증거 분석 장치(B)를 포함한다. As shown in FIG. 1, the digital forensic system to which the digital forensic technique is applied includes an evidence collecting device A for replicating and collecting data through imaging so as not to change the original data from the digital data material. And an evidence analysis device (B) capable of performing various evidence analyzes to confirm facts using evidence data collected from the evidence collection device (A).

그러나, 위 도 1에서 보여지는 바와 같은, 종래 증거 수집 장치(A) 및 증거 분석 장치(B)는 통상적으로 워크 스테이션 형태의 독립적인 장치로 구성되어, 사무실 등과 같은 제한된 영역에서 많은 공간을 차지하며, 또한 각 장치가 고가의 장치 여서 디지털 포렌식 시스템을 구성하는 비용이 높게 소요되는 문제점이 있었다.However, the conventional evidence collection device (A) and evidence analysis device (B), as shown in FIG. 1 above, are typically composed of independent devices in the form of workstations, and take up a lot of space in a limited area such as an office. In addition, since each device is an expensive device, there is a problem in that the cost of constructing a digital forensic system is high.

따라서, 본 발명은 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있도록 하는 가상 환경을 이용한 디지털 포렌식 시스템 및 방법을 제공하고자 한다.Accordingly, the present invention provides a cost-effective evidence analysis apparatus for evidence analysis that is independently provided in the form of a workstation, by virtually implementing logical partitioning on a virtual server of a digital forensic system, thereby enabling a plurality of user terminals through a network. The present invention aims to provide a digital forensic system and method using a virtual environment that enables the analysis of evidence without the need for an expensive evidence analysis device independently, thereby increasing the efficiency of the evidence analysis.

상술한 본 발명은 가상 환경을 이용한 디지털 포렌식 시스템으로서, 증거 자료를 복제하여 디지털 포렌식 데이터로 수집하는 증거 수집부와, 상기 증거 수집부에서 수집된 디지털 포렌식 데이터를 이용하여 상기 증거 자료를 분석하는 증거 분석부와, 사용자 단말과 상기 다수의 증거 분석부를 연결하는 가상 스위치와, 상기 사용자 단말과 네트워크를 통해 연결되며, 각 사용자 단말로부터 상기 증거 자료의 분석을 위한 작업 요청 수신 시, 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하고, 상기 가상 스위치를 통해 상기 증거 분석부에 연결하여 상기 요청된 분석을 수행한 후, 분석 결과를 상기 가상 작업 환경으로 제공하는 가상 서버를 포함한다.The present invention described above is a digital forensic system using a virtual environment, the evidence collecting unit for replicating the evidence data collected as digital forensic data, and the evidence for analyzing the evidence data using the digital forensic data collected by the evidence collection unit An analysis unit, a virtual switch connecting the user terminal and the plurality of evidence analyzers, and a network connected to the user terminal, upon receiving a work request for analyzing the evidence data from each user terminal, on the user terminal. And a virtual server generating a virtual working environment for analyzing the evidence data, connecting to the evidence analyzing unit through the virtual switch, performing the requested analysis, and providing an analysis result to the virtual working environment. .

또한, 본 발명은 디지털 포렌식 시스템의 가상 서버에서 가상 환경을 이용하여 증거 자료를 분석하는 방법으로서, 디지털 저장매체로부터 증거 자료를 복제하 여 디지털 포렌식 데이터로 수집하는 단계와, 네트워크로 연결되는 사용자 단말로부터 상기 증거 자료의 분석 요청을 수신하는 단계와, 상기 증거 자료의 분석 요청 수신 시 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하는 단계와, 상기 가상 작업 환경에서 상기 증거 자료의 분석을 위해 선택되는 가상의 증거 분석부로 연결하여 상기 증거 자료의 분석을 수행하는 단계와, 상기 분석 결과를 상기 사용자 단말 상 구현된 가상 작업 환경으로 제공하는 단계를 포함한다.In addition, the present invention is a method for analyzing the evidence data using a virtual environment in a virtual server of the digital forensic system, the step of replicating the evidence data from the digital storage medium to collect the digital forensic data, and the user terminal connected to the network Receiving a request for analyzing the evidence from the document; generating a virtual working environment for analyzing the evidence on the user terminal upon receiving the request for analyzing the evidence; and generating the evidence in the virtual working environment. Connecting to the virtual evidence analysis unit selected for the analysis of the data, and performing the analysis of the evidence data, and providing the analysis result to the virtual working environment implemented on the user terminal.

본 발명에서는 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있는 이점이 있다. 또한, 고비용의 증거 분석 장치를 별도로 구비하지 않아도 되어 공간과 비용을 절약할 수 있는 이점이 있다.In the present invention, the expensive evidence analysis device for evidence analysis provided in the form of a workstation independently, by virtually implemented by logical partitioning on a virtual server of the digital forensic system, can be used in a plurality of user terminals through the network By doing so, it is possible to analyze evidence without having an expensive evidence analysis device independently, and to increase the efficiency of evidence analysis. In addition, there is an advantage in that space and cost can be saved by not having to separately provide an expensive evidence analysis device.

또한, 가상 시스템의 구현을 통해 긴급 사건 해결을 위한 프로젝트 구성 시 30분 정도의 시간만으로도 증거 자료의 분석을 위한 시스템을 구성할 수 있어 보다 신속한 증거 분석 작업이 가능하며, 증거 분석 장치의 듀얼 구성을 통해 수사기관의 특성상 폐쇄된 네트워크에서 여러 가지 다른 매체에 의한 바이러스 감염 시 감 염된 가상 분석 장치를 삭제하고 듀얼로 구성된 다른 가상 분석 장치로 절체하도록 함으로써 5∼10분 안에 시스템을 복구시킬 수 있어 시스템의 안정성을 높일 수 있는 이점이 있다.In addition, the implementation of the virtual system allows the system to analyze the evidence data in only 30 minutes when constructing a project for resolving an emergency case, enabling faster analysis of evidence, and dual configuration of the evidence analysis device. Due to the nature of the investigating agency, it is possible to recover the system in 5 to 10 minutes by deleting the infected virtual analysis device in case of virus infection by various other media in a closed network and transferring to another virtual analysis device that is configured in dual. There is an advantage to increase the stability.

이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the present invention. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like. Therefore, the definition should be made based on the contents throughout the specification.

도 2는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템의 네트워크 구성을 도시한 것이다.2 illustrates a network configuration of a digital forensic system using a virtual environment according to an embodiment of the present invention.

이하, 도 2를 참조하여 가상 환경을 이용한 디지털 포렌식 시스템의 각 구성 요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, an operation of each component of the digital forensic system using the virtual environment will be described in detail with reference to FIG. 2.

사용자 단말(100)은 증거 자료를 분석하기 위해 가상 서버(102)에 접속하기 위한 사용자 인터페이스 장치(interface device)로, PC 등의 단말 장치가 될 수 있다. 즉, 압수된 증거 자료를 분석하는 수사관 등의 사용자는 사용자 단말(100)을 이용하여 네트워크를 통해 가상 서버(102)에 접속한 후, 가상 서버(102)에서 제공하는 증거 분석 작업을 위한 가상 작업 환경 상에서 가상 서버(102)내 논리적 분할을 통해 가상으로 구현되는 증거 분석부(104)에 연결하여 증거 자료에 대한 증거 분석을 수행한다.The user terminal 100 is a user interface device for connecting to the virtual server 102 to analyze evidence data, and may be a terminal device such as a PC. That is, a user such as an investigator analyzing the confiscated evidence data accesses the virtual server 102 through the network using the user terminal 100, and then virtual work for the evidence analysis work provided by the virtual server 102. Evidence analysis on evidence data is performed by connecting to the evidence analysis unit 104 which is virtually implemented through logical partitioning in the virtual server 102 in the environment.

증거 수집부(106)는 압수된 하드디스크(hard disk), USB(universal serial bus) 메모리, CD(compact disk) 등의 디지털 저장매체(108)로부터 증거 자료를 복제하여 디지털 포렌식 데이터로 수집한다. 이때, 증거 수집부(106)는 증거 자료를 복제함에 있어서 어떤 데이터의 변경 없이 디지털 저장매체(108)에 저장된 원본 데이터를 그대로 복제하여 데이터의 무결성을 유지시킨다.The evidence collecting unit 106 replicates evidence data from digital storage media 108 such as confiscated hard disk, universal serial bus (USB) memory, compact disk (CD), and collects the evidence data as digital forensic data. At this time, the evidence collection unit 106 maintains the integrity of the data by copying the original data stored in the digital storage medium 108 as it is without changing any data in copying the evidence.

증거 분석부(104)는 종래 워크 스테이션 형태의 독립적인 장치로 제작되어 부피가 크며 높은 비용이 소요되는 것과는 달리, 본 발명에서는 가상 서버(102)의 높은 CPU(central processor unit)성능을 논리적으로 분할하여 가상 서버(102) 상에 가상으로 구현되며, 사용자 단말(100)로부터 증거 자료에 대한 분석 요청이 있는 경우 가상 스위치(105)를 통해 사용자 단말(100)과 연결되어 사용자 단말(100)로부터 요청에 따라 증거 자료에 대한 분석을 수행하고, 분석 결과를 가상 서버(102)를 통해 사용자 단말(100) 상 구현된 가상 작업 환경으로 제공한다.Evidence analysis unit 104 is manufactured as an independent device in the form of a conventional workstation, unlike the bulky and high cost, the present invention logically partitions the high CPU (central processor unit) performance of the virtual server 102 Is virtually implemented on the virtual server 102, and when there is a request for analysis of evidence data from the user terminal 100, a request from the user terminal 100 is connected to the user terminal 100 through the virtual switch 105. According to the analysis of the evidence data, and provides the analysis result to the virtual work environment implemented on the user terminal 100 through the virtual server 102.

또한, 위와 같은 증거 분석부(104)는 증거 자료의 분석을 위한 구동 시 증거 자료 내 존재하는 바이러스(virus) 등으로 인해 증거 분석 과정에서 증거 분석부(104)가 바이러스 감염되는 등과 같이 정상적인 동작이 어려운 경우를 대비하여 도 3에서 보여지는 바와 같이, 동일한 증거 분석부(104, 104')가 듀얼(dual)로 구 현되어, 하나의 증거 분석부(104)의 이상 동작 발생 시 듀얼로 구비된 다른 증거 분석부(104')가 대체되어 동작됨으로써, 증거 분석부(104)의 이상 동작 발생 시에도 빠른 복구가 가능하게 된다.In addition, the evidence analysis unit 104 as described above is a normal operation, such as a virus infection in the evidence analysis process during the evidence analysis process due to the virus (virus) existing in the evidence when the drive for the analysis of the evidence data. In case of difficulty, as shown in FIG. 3, the same evidence analysis unit 104 and 104 ′ is implemented in dual, so that an abnormal operation of one evidence analysis unit 104 is provided in dual. As the other evidence analyzer 104 ′ is replaced and operated, even when an abnormal operation of the evidence analyzer 104 occurs, fast recovery is possible.

가상 스위치(105)는 네트워크를 통해 가상 서버(102)에 접속하는 다수의 사용자 단말(100)과 해당되는 증거 분석부(104)를 연결한다.The virtual switch 105 connects the plurality of user terminals 100 connected to the virtual server 102 through the network and the corresponding evidence analyzer 104.

가상 서버(102)는 종래 독립적인 장치로 구현되는 증거 분석 장치(B)에 사용되는 CPU보다 상대적으로 훨씬 높은 성능을 가지는 고성능의 CPU가 탑재되며, CPU의 성능을 논리적으로 다수개로 분할하여 증거 분석 기능을 구현함으로써, 종래 워크 스테이션 형태로 독립적으로 구현되던 고가의 증거 분석 장치(B)를 대체하는 가상의 증거 분석부(104)를 구현한다. 이와 같은 가상의 증거 분석부(104)는 가상 서버(102)에 접속하여 증거 분석을 수행하고자 하는 사용자 단말(100) 상 가상 작업 환경에서 표시되어 사용자는 마치 종래와 같이 독립적인 증거 분석 장치(B)에 접속하여 증거 분석 작업을 수행하듯이 동일하게 증거 분석 작업을 수행하게 되며, 이와 같은 사용자의 증거 분석 요청은 실제로는 가상 서버(102)내 가상으로 구현된 가상의 증거 분석부(104)에서 작업이 수행되게 된다.The virtual server 102 is equipped with a high-performance CPU having a relatively higher performance than the CPU used in the evidence analyzing apparatus B, which is conventionally implemented as an independent device, and divides the performance of the CPU into a plurality of logically to analyze the evidence. By implementing the function, the virtual evidence analyzer 104 is replaced by the expensive evidence analysis device B, which is independently implemented in the form of a conventional workstation. Such a virtual evidence analyzer 104 is displayed in a virtual working environment on the user terminal 100 to access the virtual server 102 to perform evidence analysis, so that the user is independent of the evidence analysis device B as before. Evidence analysis work is performed in the same way as the Evidence Analysis work is performed by accessing the Evidence Analysis Work, and the user's evidence analysis request is actually performed by the virtual evidence analysis unit 104 virtually implemented in the virtual server 102. The work will be performed.

즉, 가상 서버(102)는 다수의 사용자 단말(100)과 네트워크를 통해 연결되며, 각 사용자 단말(100)로부터 증거 자료의 분석을 위한 작업 요청 수신 시, 사용자 단말(100) 상에 증거 자료의 분석을 위한 가상 분석 화면을 생성하고, 가상 스위치(105)를 통해 해당 증거 분석 작업을 수행할 가상 분석부(104)에 연결하여 사용자 단말(100)로부터 요청된 분석을 수행한 후, 분석 결과를 해당 사용자 단 말(100)의 가상 분석 화면으로 제공하여 사용자가 증거 분석 결과를 확인할 수 있도록 한다.That is, the virtual server 102 is connected to a plurality of user terminals 100 through a network, and upon receiving a work request for analysis of evidence data from each user terminal 100, the virtual server 102 is connected to the evidence data on the user terminal 100. After generating a virtual analysis screen for analysis, and connected to the virtual analysis unit 104 to perform the corresponding evidence analysis work through the virtual switch 105 to perform the requested analysis from the user terminal 100, the analysis result It provides a virtual analysis screen of the user terminal 100 so that the user can check the evidence analysis results.

또한, 위와 같은 가상 서버(102)는 증거 분석부(104)와 증거 수집부(106)로부터 입력되는 증거 자료 또는 증거 분석 결과 데이터의 저장을 위해 예를 들어 300TB(terra bite) 정도의 대용량 저장부(110)를 구비하며, 대용량 저장부(110)에는 영역이 분리되어 증거 수집부(106)로부터 수집된 증거 자료가 저장되고, 증거 분석부(104)로부터 분석된 증거 분석 결과 데이터가 구분되어 저장된다. In addition, the virtual server 102 is a mass storage unit of about 300TB (terra bite), for example, for storing the evidence data or evidence analysis result data input from the evidence analyzer 104 and the evidence collector 106. 110, the mass storage unit 110 stores the evidence data collected from the evidence collection unit 106 by separating the region, and stores the evidence analysis result data analyzed from the evidence analysis unit 104. do.

또한, 가상 서버(102)는 가상 서버(102)에 장애가 발생하는 경우를 대비하여 도 4에서 보여지는 바와 같이, 동일한 가상 서버(102, 102')가 듀얼로 구현되어, 기존 동작 중인 가상 서버(102)의 이상 동작 발생 시 듀얼로 구비된 다른 가상 서버(102')로 증거 분석부(104)에 대한 제어 사항이 절체되도록 함으로써, 가상 서버(102)의 안정성을 보장하게 된다.In addition, the virtual server 102, as shown in Figure 4 in case the failure of the virtual server 102, the same virtual server (102, 102 ') is implemented in dual, the existing operating virtual server ( When abnormal operation of the 102 occurs, the control items for the evidence analyzer 104 are transferred to another virtual server 102 ′ provided with dual, thereby ensuring the stability of the virtual server 102.

관리부(112)는 가상 서버(102)에 연결되는 운용자의 단말장치로, 운용자는 가상 서버(102)에 연결되는 단말장치를 이용하여 가상 서버(102)의 동작을 모니터링(monitoring)하여 이상 동작 여부를 검사하는 등 가상 서버(102)에 대한 관리를 수행한다.The management unit 112 is an operator's terminal device connected to the virtual server 102, and the operator monitors an operation of the virtual server 102 using a terminal device connected to the virtual server 102, and whether the operation is abnormal. The management of the virtual server 102 is performed.

도 5는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템에서 증거 분석을 위한 동작 흐름을 도시한 것이며, 도 6은 디지털 포렌식 시스템에서 증거 분석 동작의 개념을 설명하는 도면이다. 이하, 도 1, 도 2, 도 3 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.FIG. 5 illustrates an operation flow for evidence analysis in a digital forensic system using a virtual environment according to an embodiment of the present invention, and FIG. 6 is a view illustrating a concept of evidence analysis operation in a digital forensic system. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1, 2, 3, and 4.

먼저, 예를 들어 수사기관 등의 각 수사관은 종래 워크 스테이션 형태로 구비되는 증거 분석 장치(B)로 이동하여 증거 분석을 수행하는 것과는 달리, 컴퓨터 등과 같은 자신의 사용자 단말(100)을 이용하여 네트워크를 통해 가상 환경을 이용한 본 발명의 디지털 포렌식 시스템의 가상 서버(102)에 접속한다. First, for example, each investigator, such as an investigative agency, moves to the evidence analyzing apparatus B provided in the form of a conventional workstation and performs the analysis of evidence, using a user terminal 100 such as a computer. Through the access to the virtual server 102 of the digital forensic system of the present invention using a virtual environment.

그러면, 가상 서버(102)는 (S500)단계에서 네트워크를 통해 사용자 단말(100)로부터의 접속을 인식하고, 가상 서버(102)로의 접속을 위한 사용자 단말(100)의 인증을 수행한다. 이때 사용자 단말(100)의 인증 수행은 각 사용자 단말(100)에 대해 미리 등록된 아이디(ID)와 패스워드(password)의 입력을 통해 수행될 수 있다. Then, the virtual server 102 recognizes the connection from the user terminal 100 through the network in step (S500), and performs authentication of the user terminal 100 for the connection to the virtual server 102. In this case, the authentication of the user terminal 100 may be performed by inputting an ID and a password registered in advance for each user terminal 100.

즉, 사용자 단말(100)은 가상 서버(102)로의 접속 시 요구되는 아이디와 패스워드를 입력하게 되며, 가상 서버(102)는 (S502)단계에서 사용자 단말(100)로부터 입력되는 아이디와 패스워드를 검사하여 접속 요구한 사용자 단말(100)이 디지털 포렌식 시스템의 사용이 인가된 단말인지 여부를 검사한다. That is, the user terminal 100 inputs the ID and password required for accessing the virtual server 102, and the virtual server 102 checks the ID and password input from the user terminal 100 in step S502. By checking whether the user terminal 100 requesting access is a terminal authorized to use the digital forensic system.

이때 만일, 입력된 사용자 단말(100)의 아이디 및 패스워드가 디지털 포렌식 시스템에 대한 사용이 인가된 단말로 인증되는 경우 가상 서버(102)는 (S504)단계에서 (S506)단계로 진행해서 사용자 단말(100) 상 증거 분석 작업이 가능하도록 하는 가상 작업 환경을 생성하여 증거 분석을 위한 다양한 메뉴가 구비된 가상 증거 분석 화면을 디스플레이시킨다.At this time, if the input ID and password of the user terminal 100 is authenticated as a terminal authorized to use the digital forensic system, the virtual server 102 proceeds from step S504 to step S506 and the user terminal ( 100) Create a virtual working environment that enables phase analysis of evidence, and displays a virtual evidence analysis screen with various menus for analyzing the evidence.

즉, 예를 들어 수사기관 등에서 디지털 포렌식 시스템에 접속하여 증거 분석을 수행할 수 있는 각 수사관의 컴퓨터 등과 같은 사용자 단말(100)은 전원 온 시 도 6에서 보여지는 바와 같이, 컴퓨터 부팅시의 일반적인 초기화면(600)을 디스플레이하며, 이와 같은 초기화면(600)상에 가상 서버(102)와의 접속을 위해 구비되는 특정 아이콘(icon)(602)을 선택하는 경우 가상 서버(102)와의 접속을 위한 인증키 입력 화면이 형성된다. That is, for example, the user terminal 100 such as the computer of each investigator capable of accessing a digital forensic system from an investigative agency and performing evidence analysis may be generally initialized at the time of computer booting, as shown in FIG. 6. When the screen 600 is selected and a specific icon 602 provided for the connection with the virtual server 102 is selected on the initial screen 600, the authentication for the connection with the virtual server 102 is performed. A key input screen is formed.

이에 따라, 사용자 단말(100)을 이용하여 디지털 포렌식 시스템의 가상 서버(102)에 접속하고자 하는 수사관 등의 사용자는 인증키 입력 화면에서 자신에게 부여된 아이디와 패스워드를 입력시키게 되며, 이때 입력한 아이디와 패스워드가 가상 서버(102)로부터 인증되는 경우 사용자 단말(100)의 표시부(604) 화면상에 디지털 포렌식 시스템에서 증거 분석 등의 작업을 수행할 수 있도록 가상 서버(102)로부터 제공되는 가상 분석 화면(606)이 디스플레이되는 것이다. 이에 따라 수사관 등의 사용자는 자신의 사용자 단말(100) 상 별도의 가상 분석 화면(606)에 구현되는 증거 분석을 위한 아이콘(608) 또는 각종 메뉴 아이콘을 선택하여 증거 분석을 요청할 수 있게 된다.Accordingly, a user such as an investigator who wants to access the virtual server 102 of the digital forensic system by using the user terminal 100 enters an ID and password given to the user in the authentication key input screen. And the password is authenticated from the virtual server 102, the virtual analysis screen provided from the virtual server 102 to perform an operation such as evidence analysis in the digital forensic system on the display unit 604 screen of the user terminal 100 606 is displayed. Accordingly, a user such as an investigator can request evidence analysis by selecting an icon 608 or various menu icons for evidence analysis implemented on a separate virtual analysis screen 606 on his user terminal 100.

그러면, 가상 서버(102)는 (S508)단계에서 사용자 단말(100) 상 생성시킨 가상 분석 화면(606) 상에서 사용자 단말(100)로부터 선택되는 분석하고자 하는 증거 자료를 인식하고, 해당 증거 자료를 대용량 저장부(110)로부터 리드(read)하여 사용자 단말(100)에서 해당 증거 자료를 검색하여 볼 수 있도록 제공하며, 또한 (S510)단계에서 해당 증거 자료를 분석할 수 있는 가상으로 구현된 다수의 증거 분석부(104) 중 하나를 선택하여 사용자 단말(100)로 연결시킴으로써 증거 분석 작업이 수행될 수 있도록 한다.Then, the virtual server 102 recognizes the evidence data to be selected from the user terminal 100 on the virtual analysis screen 606 generated on the user terminal 100 in step S508, and stores a large amount of the evidence data. Read from the storage unit (110) (read) provides a user terminal 100 to search and view the corresponding evidence material, and also in step (S510) a plurality of virtually implemented evidence that can analyze the evidence data By selecting one of the analysis unit 104 and connecting to the user terminal 100 so that the evidence analysis operation can be performed.

이에 따라, 수사관 등의 사용자는 도 6에서 보여지는 바와 같이, 사용자 단말(100)의 가상 분석 화면(606) 내 표시되는 증거 분석 아이콘(608) 등을 선택하고, 증거 분석 아이콘(608) 선택에 의해 제공되는 증거 분석 화면에서 분석하고자 하는 증거 자료에 대해 다양한 검색어 기능을 설정하는 등의 동작을 통해 증거 분석을 요청하게 된다. Accordingly, a user such as an investigator selects the evidence analysis icon 608 or the like displayed on the virtual analysis screen 606 of the user terminal 100, and selects the evidence analysis icon 608 as shown in FIG. 6. Evidence analysis is requested through the operation such as setting various search term functions for the evidence data to be analyzed in the evidence analysis screen provided by the user.

그러면, 가상 서버(102)는 (S512)단계에서 사용자 단말(100) 상에서 입력되는 증거 분석을 위한 키입력 요청을 수신하고, 이를 사용자 단말(100)과 연결되도록 할당된 증거 분석부(104)로 전달하여 증거 분석 작업을 수행시키게 된다.Then, the virtual server 102 receives a key input request for evidence analysis input on the user terminal 100 in step S512, and sends it to the evidence analysis unit 104 allocated to be connected with the user terminal 100. The evidence analysis will be performed.

이어, 증거 분석부(104)로부터 요청된 증거 자료에 대한 증거 분석 작업이 완료되는 경우, 가상 서버(102)는 (S514)단계에서 증거 분석부(104)로부터 작업이 완료된 증거 분석 결과를 사용자 단말(100) 상 구현된 가상 분석 화면(606)으로 제공하여 수사관 등의 사용자가 사용자 단말(100)의 가상 분석 화면(606)을 통해 증거 분석 결과를 확인할 수 있도록 한다.Subsequently, when the evidence analysis task for the evidence data requested from the evidence analysis unit 104 is completed, the virtual server 102 receives the evidence analysis result from which the work is completed from the evidence analysis unit 104 in step S514. Provided as the virtual analysis screen 606 implemented on (100) to enable a user such as an investigator to check the evidence analysis results through the virtual analysis screen 606 of the user terminal 100.

즉, 증거 분석부(104)로부터 분석 요청된 증가 자료에 대해 수사관 등의 사용자가 입력한 검색 조건에 따른 증거 분석 작업이 완료되어 증거 분석 결과가 산출되는 경우, 이는 가상 서버(102)를 통해 사용자 단말(100)로 전송되며, 이와 같은 증거 분석 결과는 도 6에서 보여지는 바와 같이 사용자 단말(100)의 표시부(604) 상 증거 분석 결과 화면(610)으로 표시됨으로써 수사관 등의 사용자가 증거 분석 결과를 확인할 수 있게 되는 것이다.That is, when the evidence analysis operation according to the search condition input by the user, such as an investigator, is completed on the increase data requested for analysis from the evidence analysis unit 104, and the evidence analysis result is calculated, this is performed through the virtual server 102. The evidence analysis result, which is transmitted to the terminal 100, is displayed on the display analysis result screen 610 on the display unit 604 of the user terminal 100 as shown in FIG. You will be able to check.

위와 같이, 증거 분석이 완료되는 경우 가상 서버(102)는 (S516)단계에서 증 거 분석 결과 정보를 대용량 저장부(110)내 각 증거 분석부(104)에 할당된 영역에 저장하여 추후, 해당 사용자 단말(100)이 증거 분석된 결과를 확인하고자 할 때 해당 증거 분석 결과를 제공하게 된다.As described above, when the evidence analysis is completed, the virtual server 102 stores the evidence analysis result information in the area allocated to each of the evidence analysis unit 104 in the mass storage unit 110 in the step S516, and correspondingly. When the user terminal 100 wants to confirm the result of the evidence analysis, the user terminal 100 provides the corresponding evidence analysis result.

상기한 바와 같이, 본 발명은 가상 환경을 이용한 디지털 포렌식 시스템에 있어서, 종래 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 장치에 대해 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 증거 분석의 효율성을 높일 수 있으며, 고비용의 증거 분석 장치를 별도로 구비하지 않아도 되어 공간과 비용을 절약할 수 있다.As described above, the present invention provides a digital forensic system using a virtual environment, by virtually implementing a logical partition on a virtual server of the digital forensic system for the device for evidence analysis provided in the form of a conventional workstation independently. As a result, the efficiency of evidence analysis can be increased by making it available to a large number of user terminals through a network, and space and cost can be saved by not having to provide an expensive evidence analysis device.

한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.

도 1은 종래 독립적 장치로 구비되는 증거 수집 장치와 증거 분석 장치의 예시도,1 is an exemplary diagram of an evidence collecting device and an evidence analyzing device provided as a conventional independent device;

도 2는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템의 네트워크 구성도,2 is a network configuration diagram of a digital forensic system using a virtual environment according to an embodiment of the present invention;

도 3은 본 발명의 실시 예에 따른 가상의 증거 분석부간 절체 예시도,3 is a diagram illustrating a transfer between virtual evidence analysis units according to an embodiment of the present invention;

도 4는 본 발명의 실시 예에 따른 가상 서버의 절체 예시도,4 is a view illustrating a switching example of a virtual server according to an embodiment of the present invention;

도 5는 본 발명의 실시 예에 따른 가상 환경을 이용한 증거 분석 동작 제어 흐름도,5 is a flowchart illustrating an evidence analysis operation control using a virtual environment according to an embodiment of the present invention;

도 6은 본 발명의 실시 예에 따른 가상 환경에서 증거 분석 동작의 개념도.6 is a conceptual diagram of an evidence analysis operation in a virtual environment according to an embodiment of the present invention.

<도면의 주요 부호에 대한 간략한 설명><Brief description of the major symbols in the drawings>

100 : 사용자 단말 102 : 가상 서버100: user terminal 102: virtual server

104 : 증거 분석부 105 : 가상 스위치104: evidence analysis unit 105: virtual switch

106 : 증거 수집부 108 : 디지털 저장매체106: evidence collection unit 108: digital storage media

110 : 대용량 저장부 112 : 관리부110: mass storage unit 112: management unit

Claims (13)

가상 환경을 이용한 디지털 포렌식 시스템으로서,As a digital forensic system using a virtual environment, 증거 자료를 복제하여 디지털 포렌식 데이터로 수집하는 증거 수집부와, An evidence collecting unit for replicating the evidence and collecting the digital forensic data; 상기 증거 수집부에서 수집된 디지털 포렌식 데이터를 이용하여 상기 증거 자료를 분석하는 증거 분석부와, An evidence analyzer for analyzing the evidence data using the digital forensic data collected by the evidence collector; 사용자 단말과 상기 증거 분석부를 연결하는 가상 스위치와,A virtual switch connecting the user terminal and the evidence analyzer; 상기 사용자 단말과 네트워크를 통해 연결되며, 각 사용자 단말로부터 상기 증거 자료의 분석을 위한 작업 요청 수신 시, 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하고, 상기 가상 스위치를 통해 상기 증거 분석부에 연결하여 상기 요청된 분석을 수행한 후, 분석 결과를 상기 가상 작업 환경으로 제공하는 가상 서버를 포함하되,Connected with the user terminal through a network, upon receiving a work request for analyzing the evidence data from each user terminal, creates a virtual working environment for the analysis of the evidence data on the user terminal, and through the virtual switch And a virtual server connected to the evidence analyzer and performing the requested analysis, and providing an analysis result to the virtual working environment. 상기 가상 서버는, 듀얼로 구성되어 하나의 가상 서버의 동작 이상 시 상기 듀얼로 구성된 다른 하나의 가상 서버로 데이터 백업이 수행되며, The virtual server is configured to be dual, and when the operation of one virtual server is abnormal, data backup is performed to the other virtual server configured as dual, 상기 증거 분석부는, 각각 듀얼로 구성되어 하나의 증거 분석부에서 상기 증거 자료의 분석 중 동작 이상이 발생하는 경우 상기 듀얼로 구성된 다른 하나의 증거 분석부로 대체되어 동작되는 것을 특징으로 하는 가상 환경을 이용한 디지털 포렌식 시스템.Each of the evidence analyzer is configured to be dual, when one of the evidence analysis unit in the operation of the analysis of the evidence occurs when the operation is replaced with the other one of the evidence analysis unit consisting of a dual virtual environment characterized in that the operation Digital Forensic System. 제 1 항에 있어서,The method of claim 1, 상기 증거 분석부는, The evidence analysis unit, 상기 가상 서버 내에서 논리적으로 구현되어 상기 가상 작업 환경에서 동작하는 것을 특징으로 하는 가상 환경을 이용한 디지털 포렌식 시스템.Digital forensic system using a virtual environment, characterized in that the logical server is implemented in the virtual server operating environment. 제 1 항에 있어서, The method of claim 1, 상기 가상 서버는,The virtual server, 대용량 저장부를 구비하며, 상기 대용량 저장부내 기설정된 영역에 상기 증거 수집부에서 수집된 디지털 포렌식 데이터를 저장하는 것을 특징으로 하는 가상 환경을 이용한 디지털 포렌식 시스템.And a mass storage unit, and store digital forensic data collected by the evidence collection unit in a predetermined area in the mass storage unit. 삭제delete 삭제delete 제 1 항에 있어서,The method of claim 1, 상기 가상 서버는,The virtual server, 상기 증거 분석부에 접속하는 각각의 사용자 단말에 대해 사용자 인증을 수행하여 인증된 사용자 단말에게만 상기 증거 분석부로 접근할 수 있는 가상 작업 환경을 생성시키는 것을 특징으로 하는 가상 환경을 이용한 디지털 포렌식 시스템.Digital forensic system using a virtual environment characterized in that for performing the user authentication for each user terminal connected to the evidence analysis unit to create a virtual work environment that can be accessed only to the authenticated user terminal to the evidence analysis unit. 제 1 항에 있어서,The method of claim 1, 상기 증거 자료는, The above evidence material, 하드 디스크, CD 또는 USB를 포함하는 디지털 저장매체에 저장된 디지털 데이터인 것을 특징으로 하는 가상 환경을 이용한 디지털 포렌식 시스템.Digital forensic system using a virtual environment, characterized in that the digital data stored in a digital storage medium including a hard disk, CD or USB. 디지털 포렌식 시스템의 가상 서버에서 가상 환경을 이용하여 증거 자료를 분석하는 방법으로서,As a method of analyzing evidence using a virtual environment in a virtual server of a digital forensic system, 디지털 저장매체로부터 증거 자료를 복제하여 디지털 포렌식 데이터로 수집하는 단계와, Collecting evidence from digital storage media and collecting it as digital forensic data; 네트워크로 연결되는 사용자 단말로부터 상기 증거 자료의 분석 요청을 수신하는 단계와,Receiving a request for analyzing the evidence data from a user terminal connected to a network; 상기 증거 자료의 분석 요청 수신 시 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하는 단계와,Generating a virtual working environment for analyzing the evidence on the user terminal upon receiving the request for analyzing the evidence; 상기 가상 작업 환경에서 상기 증거 자료의 분석을 위해 선택되는 가상의 증거 분석부로 연결하여 상기 증거 자료의 분석을 수행하는 단계와,Connecting to a virtual evidence analysis unit selected for analysis of the evidence in the virtual working environment to perform analysis of the evidence; 상기 분석 결과를 상기 사용자 단말 상 구현된 가상 작업 환경으로 제공하는 단계를 포함하되,Providing the analysis result to a virtual working environment implemented on the user terminal, 상기 증거 자료의 분석을 수행하는 단계에서,In performing the analysis of the evidence material, 상기 증거 분석부의 동작 이상이 발생하는 경우 듀얼로 구성되는 다른 증거 분석부가 대체되어 동작되는 것을 특징으로 하는 가상 환경을 이용한 증거 자료 분석 방법.Evidence analysis method using a virtual environment, characterized in that the operation of the evidence analysis unit is replaced by other evidence analysis unit consisting of a dual operation. 제 8 항에 있어서,The method of claim 8, 상기 가상 작업 환경 생성단계는,The virtual work environment creation step, 상기 증거 자료의 분석 요청 수신 시 상기 사용자 단말에 대해 정당한 사용자인지 여부를 검사하는 사용자 인증을 수행하는 단계와,Performing user authentication for checking whether the user terminal is a legitimate user upon receiving the request for analyzing the evidence data; 상기 사용자 단말이 정당한 사용자로 인증되는 경우 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하는 단계Creating a virtual working environment for analysis of the evidence on the user terminal when the user terminal is authenticated as a legitimate user 를 포함하는 것을 특징으로 하는 가상 환경을 이용한 증거 자료 분석 방법.Evidence data analysis method using a virtual environment comprising a. 삭제delete 제 8 항에 있어서,The method of claim 8, 상기 증거 분석부는, The evidence analysis unit, 상기 가상 서버 내에서 논리적으로 구현되어 상기 가상 작업 환경에서 동작하는 특징으로 하는 가상 환경을 이용한 증거 자료 분석 방법.Evidence analysis method using a virtual environment characterized in that the logical server is implemented in the virtual server operating environment. 제 8 항에 있어서,The method of claim 8, 상기 디지털 포렌식 데이터는,The digital forensic data, 상기 가상 서버내 구비되는 대용량 저장부내 기설정된 영역에 저장되는 것을 특징으로 하는 가상 환경을 이용한 증거 자료 분석 방법. Evidence data analysis method using a virtual environment, characterized in that stored in the predetermined area in the mass storage unit provided in the virtual server. 제 8 항에 있어서,The method of claim 8, 상기 증거 자료는, The above evidence material, 하드 디스크, CD 또는 USB를 포함하는 디지털 저장매체에 저장된 디지털 데 이터인 것을 특징으로 하는 가상 환경을 이용한 증거 자료 분석 방법.Evidence data analysis method using a virtual environment, characterized in that the digital data stored in a digital storage medium including a hard disk, CD or USB.
KR1020090086061A 2009-09-11 2009-09-11 Digital forensic system by use of virtual environment and method therefor KR100987064B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090086061A KR100987064B1 (en) 2009-09-11 2009-09-11 Digital forensic system by use of virtual environment and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090086061A KR100987064B1 (en) 2009-09-11 2009-09-11 Digital forensic system by use of virtual environment and method therefor

Publications (1)

Publication Number Publication Date
KR100987064B1 true KR100987064B1 (en) 2010-10-11

Family

ID=43135325

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090086061A KR100987064B1 (en) 2009-09-11 2009-09-11 Digital forensic system by use of virtual environment and method therefor

Country Status (1)

Country Link
KR (1) KR100987064B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101085509B1 (en) * 2011-05-17 2011-11-22 주식회사 온마루 Computer screen scanning system and method for digital forensics
KR101300093B1 (en) * 2011-11-04 2013-08-30 유앤아이비즈니스솔루션 (주) Dual forensic apparatus and method thereof
WO2014193058A1 (en) * 2013-05-30 2014-12-04 한국전자통신연구원 Device and method for providing security in remote digital forensic environment
KR20240071870A (en) 2022-11-16 2024-05-23 켐아이넷(주) Patient diagnosis system based on lung sounds

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05220094A (en) * 1992-02-10 1993-08-31 Aisin Seiki Co Ltd Bathtub washer
KR20090064699A (en) * 2007-12-17 2009-06-22 한국전자통신연구원 Digital forensic server for investigating digital evidence and method therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05220094A (en) * 1992-02-10 1993-08-31 Aisin Seiki Co Ltd Bathtub washer
KR20090064699A (en) * 2007-12-17 2009-06-22 한국전자통신연구원 Digital forensic server for investigating digital evidence and method therefor

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
"Fight crime. Unravel incidents... one byte at a time - GCFA Practical Assignment V 1.4", (Jeff McGurk 저, SANS Institute, 2004.04.28일 발행)*
International Journal of Digital Evidence, (Bem et al. "Computer Forensic Analysis in a Virtual Environment", Vol. 6, Issue 2, 2007 fall).
한국정보기술학회논문지, (권태석 등 공저. "가상화 환경에서의 디지털 포렌식 조사 방법론 연구", 제5권, 제2호, 2009년 4월).

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101085509B1 (en) * 2011-05-17 2011-11-22 주식회사 온마루 Computer screen scanning system and method for digital forensics
KR101300093B1 (en) * 2011-11-04 2013-08-30 유앤아이비즈니스솔루션 (주) Dual forensic apparatus and method thereof
WO2014193058A1 (en) * 2013-05-30 2014-12-04 한국전자통신연구원 Device and method for providing security in remote digital forensic environment
US9734346B2 (en) 2013-05-30 2017-08-15 Electronics And Telecommunications Research Institute Device and method for providing security in remote digital forensic environment
KR20240071870A (en) 2022-11-16 2024-05-23 켐아이넷(주) Patient diagnosis system based on lung sounds

Similar Documents

Publication Publication Date Title
TWI726749B (en) Method for diagnosing whether network system is breached by hackers and related method for generating multiple associated data frames
US20110153748A1 (en) Remote forensics system based on network
US9906548B2 (en) Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history
US11182478B2 (en) Systems and methods for tracking and recording events in a network of computing systems
US9917853B2 (en) Correlating event logs to identify a potential security breach
CN114144798A (en) Security incident investigation event capture
KR100987064B1 (en) Digital forensic system by use of virtual environment and method therefor
CN114222990A (en) Automatic lasso software detection with on-demand file system locking and automatic repair
CN114207614A (en) Safety investigation platform
Prasanthi et al. Cyber forensic science to diagnose digital crimes-a study
CN114817969A (en) Method, device, terminal and storage medium for previewing network disk drive letter file
JP7451476B2 (en) System and method for cross-referencing forensic snapshots over time for root cause analysis
CN104903865A (en) Restoring a previous version of a virtual machine image
US8738905B2 (en) Third party secured storage for web services and web applications
US20170228383A1 (en) Active archive bridge
CN114175067A (en) Incident survey workspace generation and survey control
KR20110070767A (en) Remote forensics system based on network
KR20210017839A (en) Automated system for forming analyzed data by extracting original data
US9588706B2 (en) Selective memory dump using usertokens
JP2007200047A (en) Access log-displaying system and method
KR101300093B1 (en) Dual forensic apparatus and method thereof
JP2017162142A (en) Information processing device and information processing program
Singh et al. A Novel Memory Forensics Technique for Windows 10.
US20220067183A1 (en) Information processing apparatus and non-transitory computer readable medium
Varenkamp iPhone Acquisition Using Jailbreaking Techniques

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130812

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140901

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150924

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160810

Year of fee payment: 7

LAPS Lapse due to unpaid annual fee