KR101710426B1 - Automated digital forensic system to identify the command history of the file - Google Patents
Automated digital forensic system to identify the command history of the file Download PDFInfo
- Publication number
- KR101710426B1 KR101710426B1 KR1020150168441A KR20150168441A KR101710426B1 KR 101710426 B1 KR101710426 B1 KR 101710426B1 KR 1020150168441 A KR1020150168441 A KR 1020150168441A KR 20150168441 A KR20150168441 A KR 20150168441A KR 101710426 B1 KR101710426 B1 KR 101710426B1
- Authority
- KR
- South Korea
- Prior art keywords
- file
- command
- information
- code
- time
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G06F17/30144—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/38—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation
- G06F7/48—Methods or arrangements for performing computations using exclusively denominational number representation, e.g. using binary, ternary, decimal representation using non-contact-making devices, e.g. tube, solid state device; using unspecified devices
- G06F7/491—Computations with decimal numbers radix 12 or 20.
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/30—Arrangements for executing machine instructions, e.g. instruction decode
- G06F9/30181—Instruction operation extension or modification
- G06F9/30196—Instruction operation extension or modification using decoder, e.g. decoder per instruction set, adaptable or programmable decoders
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
본 발명은 파일의 명령이력을 판별하는 디지털 포렌식 시스템에 관한 것으로, 보다 구체적으로는 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 디지털 포렌식 보안 시스템에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a digital forensic system for discriminating an instruction history of a file, and more particularly, to a digital forensic security system for discriminating an instruction history of a file using a log file recorded according to a file command in a Windows NTFS file system will be.
오늘날 가장 많이 사용되고 있는 컴퓨터 운영체제 시스템 중의 하나는 마이크로소프트사의 윈도우즈가 대부분이다. 이러한 윈도우즈는 NTFS파일시스템을 NT버전부터 기본 파일시스템으로 장착되면서 Windows XP를 걸쳐 Windwos 10버전에 이르기까지 오랫동안 안정적인 파일시스템으로 자리매김하고 있다. One of the most used computer operating system systems today is Microsoft's Windows. These windows have long been a stable file system, ranging from Windows XP to Windwos 10, with the NTFS file system as the default file system since the NT version.
NTFS 파일시스템은 디렉토리 안의 파일들을 관리하기 위하여 B-tree 방식의 자료구조를 사용함에 따라, 많은 파일을 다루는데 효율적이고 파일을 빠르게 찾을 수가 있다. 그리고 시스템에 문제가 발생하거나 하드웨어적인 디스크에 손상이 있을 때 파일의 복구기능이 뛰어나며 암호화를 통한 보안 기능을 갖추고 있다. 여기서 윈도우즈 NTFS파일시스템은 파일 시스템에서 관리하는 파일들에는 작업이 실행된 시간을 기준으로 타임스탬프를 기록한다. 디지털 포렌식의 관점에서는 이런 타임스탬프가 어떤 작업을 언제했는지 추정하는데 매우 중요한 요소로 작용한다. 타임스탬프들을 활용하여 어떤 이벤트를 중심으로 발생된 상황을 추정하여 시간대 별로 재구축하여 포렌식에 활용할 수 있다.The NTFS file system uses B-tree data structures to manage files in directories, making it efficient to handle many files and to find files quickly. And when the system is damaged or there is a hardware disk corruption, the file recovery function is excellent and it has security function through encryption. Here, the Windows NTFS file system records the timestamps in files managed by the file system based on the time at which the task was executed. From a digital forensic point of view, this timestamp is a very important factor in estimating what work to do and when. By using time stamps, it is possible to reconstruct the events occurring around certain events and to use them for forensics by time zone.
디지털 포렌식이란 데이터를 수집·보관·분석·보고하는 과학적이고 논리적인 절차와 방법으로 정의할 수 있으며, 목적상으로는 주로 컴퓨터에 내장된 디지털 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법이다. 이를 위해 원본 디지털 자료를 훼손하지 않고 증거를 획득하여 컴퓨터 증거가 그 시간에 존재했었음을 증명하고, 증거를 분석한 후 법정에서 증거로 채택하기 위해 문서화할 필요가 있다.Digital forensics is defined as scientific and logical procedures and methods for collecting, archiving, analyzing, and reporting data. For the purpose, it is based on the digital data embedded in the computer, It is a technique to identify and verify relationships. To do this, it is necessary to obtain evidence without compromising the original digital data, to prove that the computer evidence existed at that time, to document the evidence and then to document it as evidence in court.
따라서, 주요 국가의 주요 수사기관과 민감한 자료를 다루는 금융, 보험회사 등에서는 디지털 포렌식 분야의 중요성을 인식하고 전문가 및 다양한 관련 기술 확보뿐만 아니라 디지털 증거의 수집 절차, 분석 방법, 및 검색 기술 개발 등에 박차를 가하고 있다. 하지만 기존의 검색 툴들은 단순히 그 결과들만을 제시하기 때문에 수사관들이 검색된 문서 중에서 수사와 관련된 단서들을 찾기 위해 많은 시간을 소비해야만 했다.Therefore, the major investigative agencies in major countries and financial and insurance companies dealing with sensitive data recognize the importance of digital forensics field, and not only acquire experts and various related technologies, but also develop digital evidence collection methods, analysis methods, and search technologies . However, existing search tools simply present the results, so investigators had to spend a lot of time searching for documents related to the investigation.
이에 따라 본 발명은 상기와 같은 종래의 문제점을 근본적으로 해결하기 위한 것으로서, 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 별도의 분석 시스템을 구축하지 않아도 되는 편의성과 함께 비전문가라도 누구나 쉽게 접근할 수가 있는 호환성 그리고 대상파일의 용량에 구애받지 않고 자동적으로 정확하게 분석하는 신속성을 두루 겸비하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템을 제공하려는데 그 목적이 있다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an NTFS file system and a method thereof, which can solve the conventional problems as described above. The goal is to provide an automated digital forensic system that identifies the command history of a file that has easy accessibility compatibility and the ability to automatically and accurately analyze the file regardless of the capacity of the target file.
이러한 목적을 달성하기 위해 본 발명은 윈도우즈 파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 디지털 포렌식 시스템에 있어서: 상기 로그파일을 로딩 하여 파일명령수행 이전의 타임스탬프와, 파일명령수행 이후의 타임스탬프의 정보를 명령수행 대상파일의 생성시간, 쓰기시간, 수정시간, 읽기시간의 정보를 표준정보속성군과 파일이름속성군으로 구분되게 추출하는 수집모듈; 상기 타임스탬프로부터 추출된 정보를 파일명령 전·후별 서로 비교하여 무변경, 명령실행시간, 대상파일의 시간정보, 대상파일의 표준정보 속성시간정보로 각각 구분되는 타임스탬프 변화패턴으로 연산하여 이진코드를 출력하는 변환모듈; 및 상기 변화패턴에 따라 출력된 이진코드를 연산하여 단일의 십진코드로 변환하고, 상기 변환된 십진코드에 명령코드를 할당하여 출력하는 포렌식 판별모듈;을 포함하여 이루어지는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a digital forensic system for determining a command history of a file using a log file recorded in accordance with a file command in a Windows file system, the system comprising: A collection module for extracting information on the time stamp after the execution of the file command, information on the generation time, write time, modification time, and read time of the command execution object file by the standard information attribute group and the file name attribute group; The information extracted from the time stamp is compared with each other before and after the file command to calculate the time stamp change pattern distinguished by the non-change, the command execution time, the time information of the target file, and the standard information attribute time information of the target file, A conversion module for outputting the output signal; And a forensic discrimination module for calculating a binary code output according to the change pattern, converting the binary code into a single decimal code, assigning an instruction code to the decoded code, and outputting the decoded code.
삭제delete
삭제delete
삭제delete
한편, 이에 앞서 본 명세서 및 특허청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 따라서 본 명세서에 기재된 실시예와 도면에 도시된 구성은 본 발명의 가장 바람직한 일 실시예에 불과할 뿐이고, 본 발명의 기술적 사상을 모두 대변하는 것은 아니므로, 본 출원시점에 있어서 이들을 대체할 수 있는 다양한 균등물과 변형예들이 있을 수 있음을 이해하여야 한다.It should be understood, however, that the terminology or words of the present specification and claims should not be construed in an ordinary sense or in a dictionary, and that the inventors shall not be limited to the concept of a term It should be construed in accordance with the meaning and concept consistent with the technical idea of the present invention based on the principle that it can be properly defined. Therefore, the embodiments described in the present specification and the configurations shown in the drawings are merely the most preferred embodiments of the present invention, and not all of the technical ideas of the present invention are described. Therefore, It is to be understood that equivalents and modifications are possible.
이상의 구성 및 작용에서 설명한 바와 같이, 본 발명은 윈도우즈 NTFS파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 별도의 분석 시스템을 구축할 필요가 없어 비용을 절감할 수가 있고, 비전문가라도 누구나 쉽게 접근할 수가 있어 별도의 교육을 받지 않아도 되며, 대상파일의 용량에 구애받지 않고 자동적으로 정확하게 분석할 수가 있는 효과를 제공한다.As described above, according to the present invention, since it is not necessary to construct a separate analysis system by utilizing a log file recorded in accordance with a file command in the Windows NTFS file system, it is possible to reduce the cost, It does not need to be trained separately, and it provides the effect of automatically analyzing accurately regardless of the capacity of the target file.
도 1은 본 발명에 따른 시스템을 전체적으로 나타내는 블록도.1 is a block diagram generally showing a system according to the present invention;
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.
본 발명은 윈도우즈 파일시스템에서 파일명령에 따라 기록되는 로그파일을 활용하여 파일의 명령이력을 판별하는 시스템으로 도 1처럼 수집모듈(10)과 변환모듈(20) 및 포렌식 판별모듈(30)을 주요 구성으로 하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템이다. 본 발명의 시스템은 NTFS파일시스템에서 관리하는 파일들 중 작업이 실행된 시간을 기준으로 기록되는 타임스탬프의 변화패턴을 근거로 어떤 파일 명령이 수행되었는지 판별할 수 있는 기능을 구현하는 것을 주요 요지로 한다.The present invention relates to a system for determining command history of a file by utilizing a log file recorded in accordance with a file command in a Windows file system. The system includes a
먼저 수집모듈(10)은 로그파일을 로딩 하여 파일명령 이전의 타임스탬프와, 파일명령 이후의 타임스탬프의 정보를 각각 추출한다. 여기서 타임스탬프는 대상파일의 생성시간(Tc), 쓰기시간(Tw), MFT 수정시간(Te), 읽기시간(Ta)의 정보를 속성군(Si)과 이름군(Fn)으로 구분된다. 즉, 파일명령 이전의 타임스탬프가 가진 표준정보($STANDARD_INFORMATION)속성시간과 파일이름($FILE_NAME)속성이 가진 각각의 4가지 정보(Tc, Tw, Te, Ta)와, 파일명령 이후의 타임스탬프가 가진 표준정보($STANDARD_INFORMATION)속성시간과 파일이름($FILE_NAME)속성이 가진 각각의 4가지 정보(Tc, Tw, Te, Ta)를 추출한다.First, the
이어서 변환모듈(20)은 추출된 타임스탬프의 정보를 서로 비교하여 변경내역을 타임스탬프 변화패턴으로 출력한다. 즉, 대상파일의 정보마다 무변경(U), 명령실행시간(Top), 대상파일의 시간정보(Tsrc), 대상파일의 표준정보($STANDARD_INFORMATION) 속성시간정보(TSIsrc)로 연산하여 이진 값을 출력한다. 이러한 분석모듈(20)은 아래와 같은 함수에 의해 정의되어 출력된다.Subsequently, the
(bi+1'bi)=FTCC(tx Beforecommand'tx afterCommand)(b i + 1 ' b i ) = F TCC (t x Beforecommand' t x afterCommand )
정의된 함수는 파일명령이 수행되기 이전의 타임스탬프와 명령이 수행된 이후의 타임스탬프에 발생된 변화를 2비트 코드로 변환한다. 즉, 수집모듈(10)에서 추출한 표준정보($STANDARD_INFORMATION)속성시간의 4가지 정보(Tc, Tw, Te, Ta)와, 파일이름($FILE_NAME)속성의 4가지 정보(Tc, Tw, Te, Ta) 모두 8개의 TCC함수에 의하여 타임스탬프 마다 각각 2비트의 코드로 변환되어 전체 변환되는 비트의 수는 16비트가 된다. 여기서 함수 중 x는 C(생성), W(쓰기), E(수정), A(읽기)를 대표하는 표식으로 사용한 것이다. 그러므로 $SI(Tc, Tw, Te, Ta)중의 한 가지 또는 $FN(Tc, Tw, Te, Ta)의 한 가지가 적용된다.The defined function converts the time stamp before the file command is executed and the change in the time stamp after the command is executed into a 2-bit code. That is, the four pieces of information Tc, Tw, Te, and Ta of the attribute information of the standard information ($ STANDARD_INFORMATION) extracted from the
예컨데 명령 수행 전의 타임스탬프 정보와 명령 수행 후의 타임스탬프 정보를 입력으로 인가하여 비교한 후에 변화된 형태에 따라 2비트의 코드로 출력한다. 한 개의 TCC에는 표준정보($STANDARD_INFORMATION)속성시간의 4가지 정보(Tc, Tw, Te, Ta)와, 파일이름($FILE_NAME)속성의 4가지 정보(Tc, Tw, Te, Ta) 즉, 전체 8개의 타임스탬프를 각각 인수로 지정한다. 각 타임스탬프 정보들은 명령 수행 이전의 것과 명령 수행 이후의 것을 동시에 입력한다.For example, the time stamp information before the execution of the command and the time stamp information after the execution of the command are applied as inputs, and then output as a 2-bit code according to the changed form. One TCC includes four pieces of information Tc, Tw, Te, Ta of the standard information ($ STANDARD_INFORMATION) attribute time and four pieces of information Tc, Tw, Te, Ta of the file name ($ FILE_NAME) Specify 8 timestamps as arguments respectively. Each time stamp information is input at the same time as before the instruction execution and after the instruction execution.
이때, 타임스탬프의 정보마다 발생하는 변화패턴은 4종류가 존재하게 된다. 이것들을 각각 2비트 코드로 할당하여 코드화하여 표현된다. 그 종류들은 아래와 같이 무변경(U), 명령실행시간(Top), 대상파일의 시간정보(Tsrc), 대상파일의 표준정보($STANDARD_INFORMATION) 속성시간정보(TSIsrc)로 구분된다.At this time, there are four kinds of change patterns generated for each piece of time stamp information. These codes are expressed by assigning 2-bit codes to each of them. These types are divided into U (no change), command execution time (T op ), time information (T src ) of the target file, and attribute time information (T SIsrc ) of the standard information of the target file ($ STANDARD_INFORMATION).
U→(bi+1'bi)=(0,0)U → (b i + 1 ' b i ) = (0, 0)
Top→(bi+1'bi)=(0,1)T op → (b i + 1 ' b i ) = (0, 1)
Tsrc→(bi+1'bi)=(1,0)T src → (b i + 1 ' b i ) = (1, 0)
TSIsrc→(bi+1'bi)=(1,1)T SIsrc → (b i + 1 ' b i ) = (1,1)
전체의 타임스탬프 정보들은 각각 TCC의 입력으로 인가된다. 함수의 출력 (bi+1'bi)(i=0~15중 짝수)는 입력으로 인가된 타임스탬프의 명령실행 전의 것과 명령실행 후의 것의 변화에 따라 이진 값을 출력한다. 파일의 명령에 따라 실제출력 값은 각각 아래와 같다.The entire timestamp information is applied to the input of the TCC, respectively. The function output (b i + 1 ' b i ) (i = 0 to 15 is an even number) outputs a binary value according to the change of the time stamp before the instruction execution and after the execution of the instruction. The actual output values according to the commands in the file are as follows.
생성=[Fn(0,1),(0,1)(0,1)(0,1)][Si(0,1),(0,1),(0,1),(0,1)]Generate = [Fn (0,1), (0,1) (0,1) (0,1)] [Si (0,1), (0,1), )]
복사=[Fn(0,1),(0,1)(0,1)(0,1)][Si(0,1),(1,0),(0,1),(0,1)]Copy = [Fn (0,1), (0,1) (0,1) (0,1)] [Si (0,1), (1,0), (0,1), )]
갱신=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,1),(0,1),(0,0)]Update = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,1), (0,1), )]
이동(드라이브 내)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,1),(0,1),(0,0)](In the drive) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,1) (0,0)]
이동(드라이브 외)=[Fn(0,1),(0,1)(0,1)(0,1)][Si(1,0),(1,1),(0,1),(0,1)](0,1) (0,1) (0,1)] [Si (1,0), (1,1), (0,1) (0,1)]
덮어쓰기(소스파일남김)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(1,0),(0,1),(0,0)]Overwrite (leave source file) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (1,0) ), (0,0)]
덮어쓰기(소스파일삭제)=[Fn(0,0),(0,0)(0,0)(0,0)][Si(1,0),(1,0),(0,1),(0,0)]Overwrite (delete source file) = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (1,0), (1,0) ), (0,0)]
파일명 변경=[Fn(1,1),(1,1)(1,1)(1,1)][Si(0,0),(0,0),(0,1),(0,0)]File name change = [Fn (1,1), (1,1) (1,1) (1,1)] [Si (0,0), (0,0), (0,1) 0)]
파일속성 변경=[Fn(0,0),(0,0)(0,0)(0,0)][Si(0,0),(0,0),(0,1),(0,0)]Change file attributes = [Fn (0,0), (0,0) (0,0) (0,0)] [Si (0,0), (0,0), (0,1), ,0)]
마지막으로 포렌식 판별모듈(30)은 이진코드를 연산하여 십진코드로 변환하고, 십진코드에 할당된 디코딩된 문자코드로 출력한다. 즉, 복수로 나열되는 이진코드를 십진법으로 연산하여 단일의 십진코드로 변환하고, 변환된 십진코드에 명령코드를 할당하여 명령명의 문자코드를 자동으로 출력한다.Finally, the
명령명 문자코드에서 파일의 생성은 21845, 파일의 복사는 21861, 파일의 갱신은 20, 파일의 드라이브 내 이동은 65284, 파일의 드라이브 외 이동은 21925, 파일의 소스남김 덮어쓰기는 36, 파일의 소스삭제 덮어쓰기는 164, 파일명 변경은 65284, 파일속성 변경은 4로 변환된다. 그리고 명령명 문자코드로 변경하기 위해서는 변환된 명령코드를 3자리 값으로 디코드한다. 예컨대, 21845 명령코드는 001로 할당하고, 할당된 코드는 '파일생성'이라는 명령명의 문자코드가 출력되게 코딩한다. 여기서 파일의 드라이브 내 이동과 파일명 변경은 동일한 65284 명령코드가 출력되는데 파일시스템의 원리상 두 명령은 내부적으로 같은 동작을 수행한다.In the command name, the generation of the file in the character code is 21845, the copying of the file is 21861, the updating of the file is 20, the movement of the file within the drive is 65284, the movement of the file outside the drive is 21925, the overwriting of the file is overwritten by 36, Source overwrite overwrite is 164, file name change is 65284, and file attribute change is 4. In order to change to the command name character code, the converted command code is decoded into a 3-digit value. For example, the 21845 command code is assigned as 001, and the allocated code is coded so that the character code of the command name 'file creation' is output. Here, the same 65284 command code is output for moving the file in the drive and changing the file name. In principle, two commands internally perform the same operation.
이하, 구체적인 실시예를 살펴보고 본 발명의 보안 시스템이 가진 실질적인 판별 효과가 유효함을 알아보고자 한다.Hereinafter, it will be understood that a practical discrimination effect of the security system of the present invention is effective by examining specific embodiments.
<<실험환경>><< Experimental environment >>
운영체제 : Windows 7 Ultimate K Service Pack 1Operating System: Windows 7 Ultimate K Service Pack 1
디스크 포맷 : NTFS v3.1Disk Format: NTFS v3.1
저장매체 : SSD 외장 usb 드라이브Storage medium: SSD external usb drive
저장공간 : 1TBStorage space: 1TB
디스크 할당 클러스터 크기 : 4,096 바이트Disk allocation Cluster size: 4,096 bytes
작업디렉토리명 : d:\WorkingDir, d:\SrcDirWork directory name: d: \ WorkingDir, d: \ SrcDir
<파일생성><File creation>
Windows 7에서 d: 드라이브에 WorkingDir 디렉토리에 새로운 텍스트 파일을 생성한다. 탐색기창에서 우측마우스를 눌러서 "새로 만들기-텍스트 문서" 메뉴를 선택하여 파일을 생성한다. 이 파일은 내용이 들어 있지 않은 빈 파일이다. 이 파일에 내용을 기록하게 되면 생성 명령 후에 내용수정 명령이 추가적으로 실행된다. 또한, 파일명을 "새 텍스트 문서.txt"로 생성한 후에 다른 것으로 변경하게 되면 파일명 변경이 추가적으로 실행된다는 점에 주의해야 한다.On Windows 7, create a new text file in the WorkingDir directory on your d: drive. In the Explorer window, click the right mouse button and select "New - Text Document" menu to create the file. This file is an empty file that does not contain any content. If the contents are recorded in this file, a command to modify contents is additionally executed after the generation command. It should also be noted that if you rename the file after creating it as "new text document.txt", then the file name change is additionally performed.
<타임스탬프 정보수집><Time stamp information collection>
생성파일명 : 새 텍스트 문서.txtGenerated file name: New text document .txt
작업디렉토리 : d:\WorkingDirWorking directory: d: \ WorkingDir
연산일시 : 2015-06-30 10:33:07Operation date: 2015-06-30 10:33:07
작업 후 파일의 타임스탬프:Timestamp of post-production file:
새 텍스트 문서.txtNew text document .txt
-$STANDARD_INFORMATION($SI)- $ STANDARD_INFORMATION ($ SI)
C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07
E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07
-$FILE_NAME($FN)- $ FILE_NAME ($ FN)
C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07C: 2015-06-30 10:33:07 W: 2015-06-30 10:33:07
E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07E: 2015-06-30 10:33:07 A: 2015-06-30 10:33:07
위의 타임스탬프가 MFT 엔트리에 저장되어 있는 모습이다. "a"부분에는 $STANDARD_ INFORMATION 속성의 4가지 타임스탬프를 나타낸 것이고, "b"부분은 $FILE_NAME 속성의 4가지 타임스탬프를 나타낸 것이다.The above timestamp is stored in the MFT entry. The "a" part shows the four timestamps of the $ STANDARD_ INFORMATION attribute, and the "b" part shows the four timestamps of the $ FILE_NAME attribute.
<실험결과><Experimental Results>
각 타임스탬프는 16진수 8바이트로 구성되며 이것은 Windows 64비트 FILE TIME포맷을 사용하고 있다. 1601년 1월1일부터 표시되며 100ns단위로 표시할 수 있다. TCC&CC에 입력 타임스탬프를 인가한다. 여기서 파일의 생성은 명령 이전의 타임스탬프가 존재하지 않기 때문에 명령 이후인 현재의 타임스탬프만 함수의 입력으로 인가한다.Each timestamp consists of 8 bytes of hexadecimal, which uses the Windows 64-bit FILE TIME format. It is displayed from January 1, 1601, and can be displayed in units of 100 ns. Apply input timestamp to TCC & CC. Here, since generation of a file does not have a time stamp prior to the instruction, only the current time stamp after the instruction is input as a function input.
이와 같이 포렌식 디코더의 출력을 나타내며 주어진 타임스탬프에 의한 것을 포렌식 구별함수에 인가하면 "파일생성"이라고 판별된다.When the output of the forensic decoder and the given time stamp are applied to the forensic distinction function, it is determined as "file generation ".
본 발명은 기재된 실시예에 한정되는 것은 아니고, 본 발명의 사상 및 범위를 벗어나지 않고 다양하게 수정 및 변형할 수 있음은 이 기술의 분야에서 통상의 지식을 가진 자에게 자명하다. 따라서 그러한 변형예 또는 수정예들은 본 발명의 특허청구범위에 속한다 해야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit and scope of the invention as defined by the appended claims. It is therefore intended that such variations and modifications fall within the scope of the appended claims.
10: 수집모듈 20: 변환모듈
30: 포렌식 판별모듈10: Acquisition module 20: Transformation module
30: Forensic discrimination module
Claims (4)
상기 로그파일을 로딩하여 파일명령수행 이전의 타임스탬프와, 파일명령수행 이후의 타임스탬프의 정보를 명령수행 대상파일의 생성시간, 쓰기시간, 수정시간, 읽기시간의 정보를 표준정보속성군과 파일이름속성군으로 구분되게 추출하는 수집모듈;
상기 타임스탬프로부터 추출된 정보를 파일명령 전, 후별 서로 비교하여 무변경, 명령실행시간, 대상파일의 시간정보, 대상파일의 표준정보 속성시간정보로 각각 구분되는 타임스탬프 변화패턴으로 연산하여 이진코드를 출력하는 변환모듈; 및
상기 변화패턴에 따라 출력된 이진코드를 연산하여 단일의 십진코드로 변환하고, 상기 변환된 십진코드에 명령코드를 할당하여 출력하는 포렌식 판별모듈;을 포함하여 이루어지는 것을 특징으로 하는 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템.What is claimed is: 1. An automated digital forensic system for determining a command history of a file using a log file recorded in accordance with a file command in a Windows file system, the system comprising:
The time stamp before the execution of the file command and the information of the time stamp after the execution of the file command are stored in the standard information property group and the standard information property group, A collection module for extracting a name attribute group;
The information extracted from the time stamp is compared with each other before and after the file command to calculate the time stamp change pattern distinguished by the non-change, the command execution time, the time information of the target file, and the standard information attribute time information of the target file, A conversion module for outputting the output signal; And
And a forensic discrimination module for calculating a binary code output according to the change pattern, converting the binary code into a single decimal code, assigning an instruction code to the converted decimal code, and outputting the instruction code. Automated digital forensic systems to determine.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150168441A KR101710426B1 (en) | 2015-11-30 | 2015-11-30 | Automated digital forensic system to identify the command history of the file |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150168441A KR101710426B1 (en) | 2015-11-30 | 2015-11-30 | Automated digital forensic system to identify the command history of the file |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101710426B1 true KR101710426B1 (en) | 2017-02-27 |
Family
ID=58315578
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150168441A KR101710426B1 (en) | 2015-11-30 | 2015-11-30 | Automated digital forensic system to identify the command history of the file |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101710426B1 (en) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185189A (en) * | 2002-12-02 | 2004-07-02 | Sankyo Seiki Mfg Co Ltd | Log record data management method |
KR101040765B1 (en) | 2009-03-20 | 2011-06-10 | 티에스온넷(주) | System for tracing process and file using extended security level |
KR20110070767A (en) | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | Remote forensics system based on network |
KR20120044002A (en) * | 2010-10-27 | 2012-05-07 | 한국전자통신연구원 | Method for analysis and validation of online data for digital forensics and system using the same |
KR20120065819A (en) | 2010-12-13 | 2012-06-21 | 한국전자통신연구원 | Digital forensic apparatus for analyzing the user activities and method thereof |
JP2012181672A (en) * | 2011-03-01 | 2012-09-20 | Panasonic Corp | Data processor |
KR20130126815A (en) * | 2012-04-26 | 2013-11-21 | 주식회사 엘지씨엔에스 | Method and apparatus for preventing forgery of multimedia data using timestamp |
KR101410442B1 (en) | 2012-09-14 | 2014-06-20 | 주식회사 더존정보보호서비스 | A Digital Forensic Audit System for Analyzing User’s Behaviors |
-
2015
- 2015-11-30 KR KR1020150168441A patent/KR101710426B1/en active IP Right Grant
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004185189A (en) * | 2002-12-02 | 2004-07-02 | Sankyo Seiki Mfg Co Ltd | Log record data management method |
KR101040765B1 (en) | 2009-03-20 | 2011-06-10 | 티에스온넷(주) | System for tracing process and file using extended security level |
KR20110070767A (en) | 2009-12-18 | 2011-06-24 | 한국전자통신연구원 | Remote forensics system based on network |
KR20120044002A (en) * | 2010-10-27 | 2012-05-07 | 한국전자통신연구원 | Method for analysis and validation of online data for digital forensics and system using the same |
KR101407060B1 (en) | 2010-10-27 | 2014-06-13 | 한국전자통신연구원 | Method for analysis and validation of online data for digital forensics and system using the same |
KR20120065819A (en) | 2010-12-13 | 2012-06-21 | 한국전자통신연구원 | Digital forensic apparatus for analyzing the user activities and method thereof |
JP2012181672A (en) * | 2011-03-01 | 2012-09-20 | Panasonic Corp | Data processor |
KR20130126815A (en) * | 2012-04-26 | 2013-11-21 | 주식회사 엘지씨엔에스 | Method and apparatus for preventing forgery of multimedia data using timestamp |
KR101410442B1 (en) | 2012-09-14 | 2014-06-20 | 주식회사 더존정보보호서비스 | A Digital Forensic Audit System for Analyzing User’s Behaviors |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6373328B2 (en) | Aggregation of reference blocks into a reference set for deduplication in memory management | |
Carrier | Defining digital forensic examination and analysis tools using abstraction layers | |
KR100911377B1 (en) | Device and Method for searching data in digital forensic | |
JP4388078B2 (en) | Method for generating symbolic link maintaining compatibility with file system, method and apparatus for accessing file / directory using symbolic link | |
Huebner et al. | Data hiding in the NTFS file system | |
US8392423B2 (en) | Data set index record preservation | |
CN102737205B (en) | Protection comprises can the file of editing meta-data | |
US20160034201A1 (en) | Managing de-duplication using estimated benefits | |
US10621144B2 (en) | Parallel deduplication using automatic chunk sizing | |
Roussev | Digital forensic science: issues, methods, and challenges | |
KR101593184B1 (en) | Method and apparatus for recovering partition based on file system metadata | |
Lee et al. | ExtSFR: scalable file recovery framework based on an Ext file system | |
WO2007026484A1 (en) | Device, method, and program for generating and executing execution binary image, and computer-readable recording medium containing the execution binary image execution program | |
US9563635B2 (en) | Automated recognition of patterns in a log file having unknown grammar | |
US8738669B1 (en) | Method and apparatus for providing access to data objects within another data object | |
US20140244699A1 (en) | Apparatus and Methods for Selective Location and Duplication of Relevant Data | |
US20170031942A1 (en) | Database storage reclaiming program | |
KR101710426B1 (en) | Automated digital forensic system to identify the command history of the file | |
EP3698254B1 (en) | Memory allocation in a data analytics system | |
US20220043592A1 (en) | Information processing device and non-transitory computer-readable storage medium | |
Deutschmann et al. | Ubi est indicium? On forensic analysis of the UBI file system | |
KR20070032496A (en) | Methods for automatically classifying patents using computing machines and systems thereof | |
Booker | Data Carving Against Known File Obfuscation Techniques: A Proposed Data Carving Algorithm | |
KR102139578B1 (en) | Method for restoring data of database through analysis of disc block pattern | |
Sanda et al. | VM Anti-forensics: Detecting File Wiping Using File System Journals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200204 Year of fee payment: 4 |