KR101710426B1 - Automated digital forensic system to identify the command history of the file - Google Patents

Automated digital forensic system to identify the command history of the file Download PDF

Info

Publication number
KR101710426B1
KR101710426B1 KR1020150168441A KR20150168441A KR101710426B1 KR 101710426 B1 KR101710426 B1 KR 101710426B1 KR 1020150168441 A KR1020150168441 A KR 1020150168441A KR 20150168441 A KR20150168441 A KR 20150168441A KR 101710426 B1 KR101710426 B1 KR 101710426B1
Authority
KR
South Korea
Prior art keywords
file
command
information
code
time
Prior art date
Application number
KR1020150168441A
Other languages
Korean (ko)
Inventor
조규상
Original Assignee
동양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 동양대학교 산학협력단 filed Critical 동양대학교 산학협력단
Priority to KR1020150168441A priority Critical patent/KR101710426B1/en
Application granted granted Critical
Publication of KR101710426B1 publication Critical patent/KR101710426B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F17/30144
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/38Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
    • G06F7/48Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
    • G06F7/491Computations with decimal numbers radix 12 or 20.
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30181Instruction operation extension or modification
    • G06F9/30196Instruction operation extension or modification using decoder, e.g. decoder per instruction set, adaptable or programmable decoders

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The present invention relates to a digital forensic system that determines a command history by utilizing a log file recorded according to a file command in a Windows file system, and includes a collection module that extracts a timestamp before performance of a file command and information of the timestamp after the performance of the file command by loading a log file; a conversion module that compares the extracted timestamp information, calculates the change history into a timestamp change pattern, and outputs a binary code; and a forensic determination module that calculates the binary code to convert the binary code to a decimal code and decodes the decimal code into an allocated letter code. Accordingly, the present invention may reduce an analysis time of a target file in an automated manner without depending on manual work by an experience and an intuition of an analyst.

Description

파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템{Automated digital forensic system to identify the command history of the file}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an automated digital forensic system,

본 발명은 파일의 명령이력을 판별하는 디지털 포렌식 시스템에 관한 것으로, 보다 구체적으로는 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 디지털 포렌식 보안 시스템에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a digital forensic system for discriminating an instruction history of a file, and more particularly, to a digital forensic security system for discriminating an instruction history of a file using a log file recorded according to a file command in a Windows NTFS file system will be.

오늘날 가장 많이 사용되고 있는 컴퓨터 운영체제 시스템 중의 하나는 마이크로소프트사의 윈도우즈가 대부분이다. 이러한 윈도우즈는 NTFS파일시스템을 NT버전부터 기본 파일시스템으로 장착되면서 Windows XP를 걸쳐 Windwos 10버전에 이르기까지 오랫동안 안정적인 파일시스템으로 자리매김하고 있다. One of the most used computer operating system systems today is Microsoft's Windows. These windows have long been a stable file system, ranging from Windows XP to Windwos 10, with the NTFS file system as the default file system since the NT version.

NTFS 파일시스템은 디렉토리 안의 파일들을 관리하기 위하여 B-tree 방식의 자료구조를 사용함에 따라, 많은 파일을 다루는데 효율적이고 파일을 빠르게 찾을 수가 있다. 그리고 시스템에 문제가 발생하거나 하드웨어적인 디스크에 손상이 있을 때 파일의 복구기능이 뛰어나며 암호화를 통한 보안 기능을 갖추고 있다. 여기서 윈도우즈 NTFS파일시스템은 파일 시스템에서 관리하는 파일들에는 작업이 실행된 시간을 기준으로 타임스탬프를 기록한다. 디지털 포렌식의 관점에서는 이런 타임스탬프가 어떤 작업을 언제했는지 추정하는데 매우 중요한 요소로 작용한다. 타임스탬프들을 활용하여 어떤 이벤트를 중심으로 발생된 상황을 추정하여 시간대 별로 재구축하여 포렌식에 활용할 수 있다.The NTFS file system uses B-tree data structures to manage files in directories, making it efficient to handle many files and to find files quickly. And when the system is damaged or there is a hardware disk corruption, the file recovery function is excellent and it has security function through encryption. Here, the Windows NTFS file system records the timestamps in files managed by the file system based on the time at which the task was executed. From a digital forensic point of view, this timestamp is a very important factor in estimating what work to do and when. By using time stamps, it is possible to reconstruct the events occurring around certain events and to use them for forensics by time zone.

디지털 포렌식이란 데이터를 수집·보관·분석·보고하는 과학적이고 논리적인 절차와 방법으로 정의할 수 있으며, 목적상으로는 주로 컴퓨터에 내장된 디지털 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법이다. 이를 위해 원본 디지털 자료를 훼손하지 않고 증거를 획득하여 컴퓨터 증거가 그 시간에 존재했었음을 증명하고, 증거를 분석한 후 법정에서 증거로 채택하기 위해 문서화할 필요가 있다.Digital forensics is defined as scientific and logical procedures and methods for collecting, archiving, analyzing, and reporting data. For the purpose, it is based on the digital data embedded in the computer, It is a technique to identify and verify relationships. To do this, it is necessary to obtain evidence without compromising the original digital data, to prove that the computer evidence existed at that time, to document the evidence and then to document it as evidence in court.

따라서, 주요 국가의 주요 수사기관과 민감한 자료를 다루는 금융, 보험회사 등에서는 디지털 포렌식 분야의 중요성을 인식하고 전문가 및 다양한 관련 기술 확보뿐만 아니라 디지털 증거의 수집 절차, 분석 방법, 및 검색 기술 개발 등에 박차를 가하고 있다. 하지만 기존의 검색 툴들은 단순히 그 결과들만을 제시하기 때문에 수사관들이 검색된 문서 중에서 수사와 관련된 단서들을 찾기 위해 많은 시간을 소비해야만 했다.Therefore, the major investigative agencies in major countries and financial and insurance companies dealing with sensitive data recognize the importance of digital forensics field, and not only acquire experts and various related technologies, but also develop digital evidence collection methods, analysis methods, and search technologies . However, existing search tools simply present the results, so investigators had to spend a lot of time searching for documents related to the investigation.

한국 등록특허공보 제10-1040765호"확장된 보안 레이블을 이용하는 프로세스 및 파일 추적 시스템 및 프로세스 및 파일 추적 방법"Korean Patent Registration No. 10-1040765 entitled " Process and File Tracking System and Process and File Tracking Method Using Extended Security Label " 한국 등록특허공보 제10-1407060호"인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템"Korean Patent Registration No. 10-1407060 entitled " Analysis and Evidence of Data Collected via the Internet, Data Analysis and Evidence System Using the Data " 한국 공개특허공보 제10-2011-0070767호"네트워크 기반 원격 포렌식 시스템"Korean Patent Publication No. 10-2011-0070767 "Network-based remote forensic system" 한국 공개특허공보 제10-2012-0065819호"사용자 행위 분석을 위한 디지털 포렌식 장치 및 그 방법"Korean Patent Laid-Open Publication No. 10-2012-0065819 "Digital Forensic Device for User Activity Analysis and Method Thereof" 한국 등록특허공보 제10-1410442호"사용자 행위분석 기반 디지털 포렌식 감사 시스템"Korean Patent Registration No. 10-1410442 entitled "Digital Forensic Audit System Based on User Behavior Analysis"

이에 따라 본 발명은 상기와 같은 종래의 문제점을 근본적으로 해결하기 위한 것으로서, 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 별도의 분석 시스템을 구축하지 않아도 되는 편의성과 함께 비전문가라도 누구나 쉽게 접근할 수가 있는 호환성 그리고 대상파일의 용량에 구애받지 않고 자동적으로 정확하게 분석하는 신속성을 두루 겸비하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템을 제공하려는데 그 목적이 있다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an NTFS file system and a method thereof, which can solve the conventional problems as described above. The goal is to provide an automated digital forensic system that identifies the command history of a file that has easy accessibility compatibility and the ability to automatically and accurately analyze the file regardless of the capacity of the target file.

이러한 목적을 달성하기 위해 본 발명은 윈도우즈 파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 디지털 포렌식 시스템에 있어서: 상기 로그파일을 로딩 하여 파일명령수행 이전의 타임스탬프와, 파일명령수행 이후의 타임스탬프의 정보를 명령수행 대상파일의 생성시간, 쓰기시간, 수정시간, 읽기시간의 정보를 표준정보속성군과 파일이름속성군으로 구분되게 추출하는 수집모듈; 상기 타임스탬프로부터 추출된 정보를 파일명령 전·후별 서로 비교하여 무변경, 명령실행시간, 대상파일의 시간정보, 대상파일의 표준정보 속성시간정보로 각각 구분되는 타임스탬프 변화패턴으로 연산하여 이진코드를 출력하는 변환모듈; 및 상기 변화패턴에 따라 출력된 이진코드를 연산하여 단일의 십진코드로 변환하고, 상기 변환된 십진코드에 명령코드를 할당하여 출력하는 포렌식 판별모듈;을 포함하여 이루어지는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a digital forensic system for determining a command history of a file using a log file recorded in accordance with a file command in a Windows file system, the system comprising: A collection module for extracting information on the time stamp after the execution of the file command, information on the generation time, write time, modification time, and read time of the command execution object file by the standard information attribute group and the file name attribute group; The information extracted from the time stamp is compared with each other before and after the file command to calculate the time stamp change pattern distinguished by the non-change, the command execution time, the time information of the target file, and the standard information attribute time information of the target file, A conversion module for outputting the output signal; And a forensic discrimination module for calculating a binary code output according to the change pattern, converting the binary code into a single decimal code, assigning an instruction code to the decoded code, and outputting the decoded code.

삭제delete

삭제delete

삭제delete

한편, 이에 앞서 본 명세서 및 특허청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.It should be understood, however, that the terminology or words of the present specification and claims should not be construed in an ordinary sense or in a dictionary, and that the inventors shall not be limited to the concept of a term It should be construed in accordance with the meaning and concept consistent with the technical idea of the present invention based on the principle that it can be properly defined. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention, and not all of the technical ideas of the present invention are described. Therefore, It is to be understood that equivalents and modifications are possible.

이상의 구성 및 작용에서 설명한 바와 같이, 본 발명은 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 별도의 분석 시스템을 구축할 필요가 없어 비용을 절감할 수가 있고, 비전문가라도 누구나 쉽게 접근할 수가 있어 별도의 교육을 받지 않아도 되며, 대상파일의 용량에 구애받지 않고 자동적으로 정확하게 분석할 수가 있는 효과를 제공한다.As described above, according to the present invention, since it is not necessary to construct a separate analysis system by utilizing a log file recorded in accordance with a file command in the Windows NTFS file system, it is possible to reduce the cost, It does not need to be trained separately, and it provides the effect of automatically analyzing accurately regardless of the capacity of the target file.

도 1은 본 발명에 따른 시스템을 전체적으로 나타내는 블록도.1 is a block diagram generally showing a system according to the present invention;

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 윈도우즈 파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 시스템으로 도 1처럼 수집모듈(10)과 변환모듈(20) 및 포렌식 판별모듈(30)을 주요 구성으로 하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템이다. 본 발명의 시스템은 NTFS파일시스템에서 관리하는 파일들 중 작업이 실행된 시간을 기준으로 기록되는 타임스탬프의 변화패턴을 근거로 어떤 파일 명령이 수행되었는지 판별할 수 있는 기능을 구현하는 것을 주요 요지로 한다.The present invention relates to a system for determining command history of a file by utilizing a log file recorded in accordance with a file command in a Windows file system. The system includes a collection module 10, a conversion module 20, and a forensic discrimination module 30 It is an automated digital forensic system that determines the command history of a file to be composed. The system of the present invention realizes a function of determining which file command has been executed based on a change pattern of a time stamp recorded on the basis of the execution time of a job among files managed by the NTFS file system do.

먼저 수집모듈(10)은 로그파일을 로딩 하여 파일명령 이전의 타임스탬프와, 파일명령 이후의 타임스탬프의 정보를 각각 추출한다. 여기서 타임스탬프는 대상파일의 생성시간(Tc), 쓰기시간(Tw), MFT 수정시간(Te), 읽기시간(Ta)의 정보를 속성군(Si)과 이름군(Fn)으로 구분된다. 즉, 파일명령 이전의 타임스탬프가 가진 표준정보($STANDARD_INFORMATION)속성시간과 파일이름($FILE_NAME)속성이 가진 각각의 4가지 정보(Tc, Tw, Te, Ta)와, 파일명령 이후의 타임스탬프가 가진 표준정보($STANDARD_INFORMATION)속성시간과 파일이름($FILE_NAME)속성이 가진 각각의 4가지 정보(Tc, Tw, Te, Ta)를 추출한다.First, the acquisition module 10 loads the log file and extracts the time stamp before the file command and the time stamp after the file command, respectively. Here, the time stamp is divided into an attribute group Si and a name group Fn with information on the generation time Tc, write time Tw, MFT correction time Te, and read time Ta of the target file. In other words, each of the four pieces of information (Tc, Tw, Te, Ta) of the time information of the time stamp before the file command ($ STANDARD_INFORMATION) and the file name ($ FILE_NAME) Extracts four pieces of information (Tc, Tw, Te, Ta) of attribute information of $ STANDARD_INFORMATION attribute time and file name ($ FILE_NAME).

이어서 변환모듈(20)은 추출된 타임스탬프의 정보를 서로 비교하여 변경내역을 타임스탬프 변화패턴으로 출력한다. 즉, 대상파일의 정보마다 무변경(U), 명령실행시간(Top), 대상파일의 시간정보(Tsrc), 대상파일의 표준정보($STANDARD_INFORMATION) 속성시간정보(TSIsrc)로 연산하여 이진 값을 출력한다. 이러한 분석모듈(20)은 아래와 같은 함수에 의해 정의되어 출력된다.Subsequently, the conversion module 20 compares the information of the extracted time stamps with each other, and outputs the changed details as a time stamp change pattern. That is, the information is calculated with no change (U), command execution time (T op ), time information (T src ) of the target file, and attribute time information (T SIsrc ) of the standard information ($ STANDARD_INFORMATION) Output a binary value. The analysis module 20 is defined and output by the following function.

(bi+1'bi)=FTCC(tx Beforecommand'tx afterCommand)(b i + 1 ' b i ) = F TCC (t x Beforecommand' t x afterCommand )

정의된 함수는 파일명령이 수행되기 이전의 타임스탬프와 명령이 수행된 이후의 타임스탬프에 발생된 변화를 2비트 코드로 변환한다. 즉, 수집모듈(10)에서 추출한 표준정보($STANDARD_INFORMATION)속성시간의 4가지 정보(Tc, Tw, Te, Ta)와, 파일이름($FILE_NAME)속성의 4가지 정보(Tc, Tw, Te, Ta) 모두 8개의 TCC함수에 의하여 타임스탬프 마다 각각 2비트의 코드로 변환되어 전체 변환되는 비트의 수는 16비트가 된다. 여기서 함수 중 x는 C(생성), W(쓰기), E(수정), A(읽기)를 대표하는 표식으로 사용한 것이다. 그러므로 $SI(Tc, Tw, Te, Ta)중의 한 가지 또는 $FN(Tc, Tw, Te, Ta)의 한 가지가 적용된다.The defined function converts the time stamp before the file command is executed and the change in the time stamp after the command is executed into a 2-bit code. That is, the four pieces of information Tc, Tw, Te, and Ta of the attribute information of the standard information ($ STANDARD_INFORMATION) extracted from the collection module 10 and the four pieces of information Tc, Tw, Te, Ta) are converted into 2-bit codes for each time stamp by all 8 TCC functions, and the number of bits to be converted is 16 bits. Here, x is used as a representative symbol for C (generation), W (writing), E (correction), and A (reading). Therefore one of $ SI (Tc, Tw, Te, Ta) or one of $ FN (Tc, Tw, Te, Ta) is applied.

예컨데 명령 수행 전의 타임스탬프 정보와 명령 수행 후의 타임스탬프 정보를 입력으로 인가하여 비교한 후에 변화된 형태에 따라 2비트의 코드로 출력한다. 한 개의 TCC에는 표준정보($STANDARD_INFORMATION)속성시간의 4가지 정보(Tc, Tw, Te, Ta)와, 파일이름($FILE_NAME)속성의 4가지 정보(Tc, Tw, Te, Ta) 즉, 전체 8개의 타임스탬프를 각각 인수로 지정한다. 각 타임스탬프 정보들은 명령 수행 이전의 것과 명령 수행 이후의 것을 동시에 입력한다.For example, the time stamp information before the execution of the command and the time stamp information after the execution of the command are applied as inputs, and then output as a 2-bit code according to the changed form. One TCC includes four pieces of information Tc, Tw, Te, Ta of the standard information ($ STANDARD_INFORMATION) attribute time and four pieces of information Tc, Tw, Te, Ta of the file name ($ FILE_NAME) Specify 8 timestamps as arguments respectively. Each time stamp information is input at the same time as before the instruction execution and after the instruction execution.

이때, 타임스탬프의 정보마다 발생하는 변화패턴은 4종류가 존재하게 된다. 이것들을 각각 2비트 코드로 할당하여 코드화하여 표현된다. 그 종류들은 아래와 같이 무변경(U), 명령실행시간(Top), 대상파일의 시간정보(Tsrc), 대상파일의 표준정보($STANDARD_INFORMATION) 속성시간정보(TSIsrc)로 구분된다.At this time, there are four kinds of change patterns generated for each piece of time stamp information. These codes are expressed by assigning 2-bit codes to each of them. These types are divided into U (no change), command execution time (T op ), time information (T src ) of the target file, and attribute time information (T SIsrc ) of the standard information of the target file ($ STANDARD_INFORMATION).

U→(bi+1'bi)=(0,0)U → (b i + 1 ' b i ) = (0, 0)

Top→(bi+1'bi)=(0,1)T op → (b i + 1 ' b i ) = (0, 1)

Tsrc→(bi+1'bi)=(1,0)T src → (b i + 1 ' b i ) = (1, 0)

TSIsrc→(bi+1'bi)=(1,1)T SIsrc → (b i + 1 ' b i ) = (1,1)

전체의 타임스탬프 정보들은 각각 TCC의 입력으로 인가된다. 함수의 출력 (bi+1'bi)(i=0~15중 짝수)는 입력으로 인가된 타임스탬프의 명령실행 전의 것과 명령실행 후의 것의 변화에 따라 이진 값을 출력한다. 파일의 명령에 따라 실제출력 값은 각각 아래와 같다.The entire timestamp information is applied to the input of the TCC, respectively. The function output (b i + 1 ' b i ) (i = 0 to 15 is an even number) outputs a binary value according to the change of the time stamp before the instruction execution and after the execution of the instruction. The actual output values according to the commands in the file are as follows.

생성=[Fn(0,1),(0,1)(0,1)(0,1)][Si(0,1),(0,1),(0,1),(0,1)]Generate = [Fn (0,1), (0,1) (0,1) (0,1)] [Si (0,1), (0,1), )]

복사=[Fn(0,1),(0,1)(0,1)(0,1)][Si(0,1),(1,0),(0,1),(0,1)]Copy = [Fn (0,1), (0,1) (0,1) (0,1)] [Si (0,1), (1,0), (0,1), )]

갱신=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,1),(0,1),(0,0)]Update = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,1), (0,1), )]

이동(드라이브 내)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,1),(0,1),(0,0)](In the drive) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,1) (0,0)]

이동(드라이브 외)=[Fn(0,1),(0,1)(0,1)(0,1)][Si(1,0),(1,1),(0,1),(0,1)](0,1) (0,1) (0,1)] [Si (1,0), (1,1), (0,1) (0,1)]

덮어쓰기(소스파일남김)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(1,0),(0,1),(0,0)]Overwrite (leave source file) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (1,0) ), (0,0)]

덮어쓰기(소스파일삭제)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(1,0),(1,0),(0,1),(0,0)]Overwrite (delete source file) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (1,0), (1,0) ), (0,0)]

파일명 변경=[Fn(1,1),(1,1)(1,1)(1,1)][Si(0,0),(0,0),(0,1),(0,0)]File name change = [Fn (1,1), (1,1) (1,1) (1,1)] [Si (0,0), (0,0), (0,1) 0)]

파일속성 변경=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,0),(0,1),(0,0)]Change file attributes = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,0), (0,1), ,0)]

마지막으로 포렌식 판별모듈(30)은 이진코드를 연산하여 십진코드로 변환하고, 십진코드에 할당된 디코딩된 문자코드로 출력한다. 즉, 복수로 나열되는 이진코드를 십진법으로 연산하여 단일의 십진코드로 변환하고, 변환된 십진코드에 명령코드를 할당하여 명령명의 문자코드를 자동으로 출력한다.Finally, the forensic discrimination module 30 calculates a binary code, converts it into a decimal code, and outputs it as a decoded character code assigned to the decimal code. That is, binary codes arranged in plural are converted into a single decimal code by decimal calculation, and a command code is assigned to the converted decimal code to automatically output the character code of the command name.

명령명 문자코드에서 파일의 생성은 21845, 파일의 복사는 21861, 파일의 갱신은 20, 파일의 드라이브 내 이동은 65284, 파일의 드라이브 외 이동은 21925, 파일의 소스남김 덮어쓰기는 36, 파일의 소스삭제 덮어쓰기는 164, 파일명 변경은 65284, 파일속성 변경은 4로 변환된다. 그리고 명령명 문자코드로 변경하기 위해서는 변환된 명령코드를 3자리 값으로 디코드한다. 예컨대, 21845 명령코드는 001로 할당하고, 할당된 코드는 '파일생성'이라는 명령명의 문자코드가 출력되게 코딩한다. 여기서 파일의 드라이브 내 이동과 파일명 변경은 동일한 65284 명령코드가 출력되는데 파일시스템의 원리상 두 명령은 내부적으로 같은 동작을 수행한다.In the command name, the generation of the file in the character code is 21845, the copying of the file is 21861, the updating of the file is 20, the movement of the file within the drive is 65284, the movement of the file outside the drive is 21925, the overwriting of the file is overwritten by 36, Source overwrite overwrite is 164, file name change is 65284, and file attribute change is 4. In order to change to the command name character code, the converted command code is decoded into a 3-digit value. For example, the 21845 command code is assigned as 001, and the allocated code is coded so that the character code of the command name 'file creation' is output. Here, the same 65284 command code is output for moving the file in the drive and changing the file name. In principle, two commands internally perform the same operation.

이하, 구체적인 실시예를 살펴보고 본 발명의 보안 시스템이 가진 실질적인 판별 효과가 유효함을 알아보고자 한다.Hereinafter, it will be understood that a practical discrimination effect of the security system of the present invention is effective by examining specific embodiments.

<<실험환경>><< Experimental environment >>

운영체제 : Windows 7 Ultimate K Service Pack 1Operating System: Windows 7 Ultimate K Service Pack 1

디스크 포맷 : NTFS v3.1Disk Format: NTFS v3.1

저장매체 : SSD 외장 usb 드라이브Storage medium: SSD external usb drive

저장공간 : 1TBStorage space: 1TB

디스크 할당 클러스터 크기 : 4,096 바이트Disk allocation Cluster size: 4,096 bytes

작업디렉토리명 : d:\WorkingDir, d:\SrcDirWork directory name: d: \ WorkingDir, d: \ SrcDir

<파일생성><File creation>

Windows 7에서 d: 드라이브에 WorkingDir 디렉토리에 새로운 텍스트 파일을 생성한다. 탐색기창에서 우측마우스를 눌러서 "새로 만들기-텍스트 문서" 메뉴를 선택하여 파일을 생성한다. 이 파일은 내용이 들어 있지 않은 빈 파일이다. 이 파일에 내용을 기록하게 되면 생성 명령 후에 내용수정 명령이 추가적으로 실행된다. 또한, 파일명을 "새 텍스트 문서.txt"로 생성한 후에 다른 것으로 변경하게 되면 파일명 변경이 추가적으로 실행된다는 점에 주의해야 한다.On Windows 7, create a new text file in the WorkingDir directory on your d: drive. In the Explorer window, click the right mouse button and select "New - Text Document" menu to create the file. This file is an empty file that does not contain any content. If the contents are recorded in this file, a command to modify contents is additionally executed after the generation command. It should also be noted that if you rename the file after creating it as "new text document.txt", then the file name change is additionally performed.

<타임스탬프 정보수집><Time stamp information collection>

생성파일명 : 새 텍스트 문서.txtGenerated file name: New text document .txt

작업디렉토리 : d:\WorkingDirWorking directory: d: \ WorkingDir

연산일시 : 2015-06-30 10:33:07Operation date: 2015-06-30 10:33:07

작업 후 파일의 타임스탬프:Timestamp of post-production file:

새 텍스트 문서.txtNew text document .txt

-$STANDARD_INFORMATION($SI)- $ STANDARD_INFORMATION ($ SI)

C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07

E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07

-$FILE_NAME($FN)- $ FILE_NAME ($ FN)

C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07

E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07

Figure 112015116624617-pat00001
Figure 112015116624617-pat00001

위의 타임스탬프가 MFT 엔트리에 저장되어 있는 모습이다. "a"부분에는 $STANDARD_ INFORMATION 속성의 4가지 타임스탬프를 나타낸 것이고, "b"부분은 $FILE_NAME 속성의 4가지 타임스탬프를 나타낸 것이다.The above timestamp is stored in the MFT entry. The "a" part shows the four timestamps of the $ STANDARD_ INFORMATION attribute, and the "b" part shows the four timestamps of the $ FILE_NAME attribute.

<실험결과><Experimental Results>

각 타임스탬프는 16진수 8바이트로 구성되며 이것은 Windows 64비트 FILE TIME포맷을 사용하고 있다. 1601년 1월1일부터 표시되며 100ns단위로 표시할 수 있다. TCC&CC에 입력 타임스탬프를 인가한다. 여기서 파일의 생성은 명령 이전의 타임스탬프가 존재하지 않기 때문에 명령 이후인 현재의 타임스탬프만 함수의 입력으로 인가한다.Each timestamp consists of 8 bytes of hexadecimal, which uses the Windows 64-bit FILE TIME format. It is displayed from January 1, 1601, and can be displayed in units of 100 ns. Apply input timestamp to TCC & CC. Here, since generation of a file does not have a time stamp prior to the instruction, only the current time stamp after the instruction is input as a function input.

Figure 112015116624617-pat00002
Figure 112015116624617-pat00002

이와 같이 포렌식 디코더의 출력을 나타내며 주어진 타임스탬프에 의한 것을 포렌식 구별함수에 인가하면 "파일생성"이라고 판별된다.When the output of the forensic decoder and the given time stamp are applied to the forensic distinction function, it is determined as "file generation ".

본 발명은 기재된 실시예에 한정되는 것은 아니고, 본 발명의 사상 및 범위를 벗어나지 않고 다양하게 수정 및 변형할 수 있음은 이 기술의 분야에서 통상의 지식을 가진 자에게 자명하다. 따라서 그러한 변형예 또는 수정예들은 본 발명의 특허청구범위에 속한다 해야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit and scope of the invention as defined by the appended claims. It is therefore intended that such variations and modifications fall within the scope of the appended claims.

10: 수집모듈 20: 변환모듈
30: 포렌식 판별모듈10: Acquisition module 20: Transformation module
30: Forensic discrimination module

Claims (4)

윈도우즈 파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템에 있어서:
상기 로그파일을 로딩하여 파일명령수행 이전의 타임스탬프와, 파일명령수행 이후의 타임스탬프의 정보를 명령수행 대상파일의 생성시간, 쓰기시간, 수정시간, 읽기시간의 정보를 표준정보속성군과 파일이름속성군으로 구분되게 추출하는 수집모듈;
상기 타임스탬프로부터 추출된 정보를 파일명령 전, 후별 서로 비교하여 무변경, 명령실행시간, 대상파일의 시간정보, 대상파일의 표준정보 속성시간정보로 각각 구분되는 타임스탬프 변화패턴으로 연산하여 이진코드를 출력하는 변환모듈; 및
상기 변화패턴에 따라 출력된 이진코드를 연산하여 단일의 십진코드로 변환하고, 상기 변환된 십진코드에 명령코드를 할당하여 출력하는 포렌식 판별모듈;을 포함하여 이루어지는 것을 특징으로 하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템.What is claimed is: 1. An automated digital forensic system for determining a command history of a file using a log file recorded in accordance with a file command in a Windows file system, the system comprising:
The time stamp before the execution of the file command and the information of the time stamp after the execution of the file command are stored in the standard information property group and the standard information property group, A collection module for extracting a name attribute group;
The information extracted from the time stamp is compared with each other before and after the file command to calculate the time stamp change pattern distinguished by the non-change, the command execution time, the time information of the target file, and the standard information attribute time information of the target file, A conversion module for outputting the output signal; And
And a forensic discrimination module for calculating a binary code output according to the change pattern, converting the binary code into a single decimal code, assigning an instruction code to the converted decimal code, and outputting the instruction code. Automated digital forensic systems to determine. 삭제delete 삭제delete 삭제delete
KR1020150168441A 2015-11-30 2015-11-30 Automated digital forensic system to identify the command history of the file KR101710426B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150168441A KR101710426B1 (en) 2015-11-30 2015-11-30 Automated digital forensic system to identify the command history of the file

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150168441A KR101710426B1 (en) 2015-11-30 2015-11-30 Automated digital forensic system to identify the command history of the file

Publications (1)

Publication Number Publication Date
KR101710426B1 true KR101710426B1 (en) 2017-02-27

Family

ID=58315578

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150168441A KR101710426B1 (en) 2015-11-30 2015-11-30 Automated digital forensic system to identify the command history of the file

Country Status (1)

Country Link
KR (1) KR101710426B1 (en)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185189A (en) * 2002-12-02 2004-07-02 Sankyo Seiki Mfg Co Ltd Log record data management method
KR101040765B1 (en) 2009-03-20 2011-06-10 티에스온넷(주) System for tracing process and file using extended security level
KR20110070767A (en) 2009-12-18 2011-06-24 한국전자통신연구원 Remote forensics system based on network
KR20120044002A (en) * 2010-10-27 2012-05-07 한국전자통신연구원 Method for analysis and validation of online data for digital forensics and system using the same
KR20120065819A (en) 2010-12-13 2012-06-21 한국전자통신연구원 Digital forensic apparatus for analyzing the user activities and method thereof
JP2012181672A (en) * 2011-03-01 2012-09-20 Panasonic Corp Data processor
KR20130126815A (en) * 2012-04-26 2013-11-21 주식회사 엘지씨엔에스 Method and apparatus for preventing forgery of multimedia data using timestamp
KR101410442B1 (en) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185189A (en) * 2002-12-02 2004-07-02 Sankyo Seiki Mfg Co Ltd Log record data management method
KR101040765B1 (en) 2009-03-20 2011-06-10 티에스온넷(주) System for tracing process and file using extended security level
KR20110070767A (en) 2009-12-18 2011-06-24 한국전자통신연구원 Remote forensics system based on network
KR20120044002A (en) * 2010-10-27 2012-05-07 한국전자통신연구원 Method for analysis and validation of online data for digital forensics and system using the same
KR101407060B1 (en) 2010-10-27 2014-06-13 한국전자통신연구원 Method for analysis and validation of online data for digital forensics and system using the same
KR20120065819A (en) 2010-12-13 2012-06-21 한국전자통신연구원 Digital forensic apparatus for analyzing the user activities and method thereof
JP2012181672A (en) * 2011-03-01 2012-09-20 Panasonic Corp Data processor
KR20130126815A (en) * 2012-04-26 2013-11-21 주식회사 엘지씨엔에스 Method and apparatus for preventing forgery of multimedia data using timestamp
KR101410442B1 (en) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors

Similar Documents

Publication Publication Date Title
JP6373328B2 (en) Aggregation of reference blocks into a reference set for deduplication in memory management
Carrier Defining digital forensic examination and analysis tools using abstraction layers
KR100911377B1 (en) Device and Method for searching data in digital forensic
JP4388078B2 (en) Method for generating symbolic link maintaining compatibility with file system, method and apparatus for accessing file / directory using symbolic link
Huebner et al. Data hiding in the NTFS file system
US8392423B2 (en) Data set index record preservation
CN102737205B (en) Protection comprises can the file of editing meta-data
US20160034201A1 (en) Managing de-duplication using estimated benefits
US10621144B2 (en) Parallel deduplication using automatic chunk sizing
Roussev Digital forensic science: issues, methods, and challenges
KR101593184B1 (en) Method and apparatus for recovering partition based on file system metadata
Lee et al. ExtSFR: scalable file recovery framework based on an Ext file system
WO2007026484A1 (en) Device, method, and program for generating and executing execution binary image, and computer-readable recording medium containing the execution binary image execution program
US9563635B2 (en) Automated recognition of patterns in a log file having unknown grammar
US8738669B1 (en) Method and apparatus for providing access to data objects within another data object
US20140244699A1 (en) Apparatus and Methods for Selective Location and Duplication of Relevant Data
US20170031942A1 (en) Database storage reclaiming program
KR101710426B1 (en) Automated digital forensic system to identify the command history of the file
EP3698254B1 (en) Memory allocation in a data analytics system
US20220043592A1 (en) Information processing device and non-transitory computer-readable storage medium
Deutschmann et al. Ubi est indicium? On forensic analysis of the UBI file system
KR20070032496A (en) Methods for automatically classifying patents using computing machines and systems thereof
Booker Data Carving Against Known File Obfuscation Techniques: A Proposed Data Carving Algorithm
KR102139578B1 (en) Method for restoring data of database through analysis of disc block pattern
Sanda et al. VM Anti-forensics: Detecting File Wiping Using File System Journals

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200204

Year of fee payment: 4