KR101864790B1 - Drive mounter system and method for digital forensic - Google Patents

Drive mounter system and method for digital forensic Download PDF

Info

Publication number
KR101864790B1
KR101864790B1 KR1020160161354A KR20160161354A KR101864790B1 KR 101864790 B1 KR101864790 B1 KR 101864790B1 KR 1020160161354 A KR1020160161354 A KR 1020160161354A KR 20160161354 A KR20160161354 A KR 20160161354A KR 101864790 B1 KR101864790 B1 KR 101864790B1
Authority
KR
South Korea
Prior art keywords
storage medium
user
connected storage
sector
unit
Prior art date
Application number
KR1020160161354A
Other languages
Korean (ko)
Inventor
이건명
한유일
전병준
연제성
Original Assignee
충북대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충북대학교 산학협력단 filed Critical 충북대학교 산학협력단
Priority to KR1020160161354A priority Critical patent/KR101864790B1/en
Application granted granted Critical
Publication of KR101864790B1 publication Critical patent/KR101864790B1/en

Links

Images

Classifications

    • G06F17/30182
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

The present invention relates to a drive access system for digital forensics and a method thereof, the system comprising: a storage medium recognition unit recognizing a connected storage medium; a storage medium reading unit obtaining a handle value in the connected storage medium; a sector parsing unit reading a boot sector of a partition table of a master boot record (MBR) of the connected storage medium and parsing the partition table in the MBR; a search unit displaying a list of the connected storage media, logical partitions, and files, when a request of a user is received; and a data viewer outputting data of a corresponding file to a user after opening a file requested by the user in the connected storage medium. The system enables the user to access information in an inaccessible file system in Windows environment, and achieves user convenience and work efficiency improvement by logging user′s work contents.

Description

디지털 포렌식을 위한 드라이브 접근시스템 및 방법{DRIVE MOUNTER SYSTEM AND METHOD FOR DIGITAL FORENSIC}[0001] DRIVE MOUNTER SYSTEM AND METHOD FOR DIGITAL FORENSIC FOR DIGITAL FORENSIC [

본 발명은 디지털 포렌식을 위한 드라이브 접근 시스템 및 방법에 관한 것으로, 더욱 상세하게는 임의의 운영 체제에 그 외 다른 운영 체제에서 사용되는 다양한 파일 시스템을 장착하여 정보를 읽어낼 수 있게 하는 디지털 포렌식을 위한 드라이브 접근 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for accessing a drive for digital forensics, and more particularly, to a system and method for a digital forensic drive for accessing information by using various operating systems, And more particularly, to a drive access system and method.

저장매체에 직접 접근하여 정보를 읽어오는 방법에 대해 “컴퓨터 포렌식 과정에서 디스크 인터페이스를 사용한 저장매체 파일 직접 접근 시스템 및 방법”라는 명칭의 대한민국 특허 출원 제10-2013-0016664호가 출원된 상태이다.Korean Patent Application No. 10-2013-0016664 filed with the title of "System and method for directly accessing a storage medium file using a disk interface in a computer forensic process" for a method of directly accessing a storage medium and reading information.

상기 발명은 컴퓨터에 연결되어 있는 저장매체에 직접 접근을 하여 인터페이스 명령을 전송하여 저장매체 유형정보를 알아내고 저장매체의 논리 구조 정보를 알아내기 위해 앞서 알아낸 정보를 바탕으로 인터페이스 명령을 전송하여 저장매체 논리 구조 정보를 알아낸다. 논리 구조에 대한 정보를 바탕으로 파일 논리 구조 정보를 알아내어 이를 해석하고 파일 조합정보를 알아낸 뒤 해당 정보를 바탕으로 파일 데이터를 알아내 이를 조합하여 파일을 만든다. 이는 저장매체에 대한 직접적인 접근으로 이루어지는 시스템이기 때문에 사용자가 저장매체에 접근하는 환경에 종속적이지 않다는 특성이 있다.The present invention relates to a method and apparatus for directly accessing a storage medium connected to a computer to transmit an interface command to determine storage medium type information and to transmit an interface command based on the information obtained in advance in order to determine logical structure information of the storage medium And obtains the medium logical structure information. Based on the information on the logical structure, it obtains the file logical structure information, analyzes it, and obtains the file combination information. Then, based on the information, the file data is obtained, and the file is created by combining the file data. This is a system that is made up of a direct access to a storage medium, so that it is not dependent on the environment in which the user accesses the storage medium.

그러나 상기 발명은 저장매체에 직접 접근을 해서 정보를 제공해주는 것에 불과한 바, 사용자가 어떤 작업을 했고 데이터 접근 패턴이 어떻게 되는지에 대한 기록을 볼 수 없어 포렌식 작업에서의 능률을 저하시키는 문제점이 있었다.However, the above-described invention provides only information by directly accessing the storage medium. As a result, the user can not view a record of what the user has done and the data access pattern, thereby reducing the efficiency of forensic work.

대한민국 등록특허공보 제10-1367062호(등록일자 2014.02.18)Korean Registered Patent No. 10-1367062 (registered date 2014.02.18)

따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 해당 시스템을 통해 디지털 포렌식을 수행함에 있어서 NTFS, FAT32을 주로 사용하는 윈도우 환경에 다른 운영 체제에서 사용되는 다양한 파일 시스템을 장착하여 정보를 읽을 수 있게 하며 사용자가 작업 내용과 관련한 로그를 남길 수 있게 하여 윈도우 환경에서의 디지털 포렌식 작업 효율성을 향상시키는 디지털 포렌식을 위한 드라이브 접근 시스템 및 방법을 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems of the prior art, and it is an object of the present invention to provide a system and method for performing a digital forensic operation in a system using NTFS, FAT32, To provide a drive access system and method for digital forensics which improves the efficiency of digital forensic work in a window environment by allowing a user to read information by attaching a file system and to leave a log related to a work content.

상기와 같은 목적을 달성하기 위한 본 발명의 디지털 포렌식을 위한 드라이브 접근 시스템은 연결된 저장매체를 인식하는 저장매체 인식부, 상기 연결된 저장매체에서 핸들값을 획득하는 저장매체 읽기부, 상기 연결된 저장매체의 마스터 부트 레코드(MBR; Master boot record)의 분할표(partition table)의 부트 섹터(boot sector)를 읽고, 상기 MBR 내의 분할표를 파싱(parcing)하는 섹터 파싱부, 사용자 요청시, 상기 연결된 저장매체들, 논리적 분할들, 파일들의 목록을 표시하는 탐색부 및 상기 연결된 저장매체에서 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 사용자에게 출력하는 데이터 뷰어를 포함한다.According to an aspect of the present invention, there is provided a drive access system for digital forensics, comprising: a storage medium recognition unit for recognizing a connected storage medium; a storage medium reading unit for obtaining a handle value in the connected storage medium; A sector parser for reading a boot sector of a partition table of a master boot record (MBR) and parsing a partition table in the MBR, A logical partition, a search unit for displaying a list of files, and a data viewer for outputting data of a corresponding file after opening a file requested by the user in the connected storage medium.

바람직하게는, 상기 디지털 포렌식을 위한 드라이브 접근 시스템은 상기 저장매체 인식부, 상기 저장매체 읽기부, 상기 섹터 파싱부, 상기 탐색부 및 상기 뷰어가 수행한 작업들에 대한 모든 사항을 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러올 수 있게 하는 로그 뷰어를 더 포함할 수 있다.Preferably, the drive access system for digital forensics records all the operations performed by the storage medium recognition unit, the storage medium reading unit, the sector parsing unit, the search unit, and the viewer in a log And may further include a log viewer that stores the recorded log and allows the user to load the stored log.

한편, 본 발명의 디지털 포렌식을 위한 드라이브 접근 방법은 디지털 포렌식을 위한 드라이브 접근 시스템을 탑재한 운영체제에 저장매체가 연결되면, 상기 디지털 포렌식을 위한 드라이브 접근 시스템이: 연결된 저장매체를 인식하는 단계, 상기 연결된 저장매체에서 핸들값을 획득하는 단계, 상기 연결된 저장매체의 MBR의 분할표의 부트 섹터를 읽고, 상기 MBR 내의 분할표를 파싱하는 단계, 사용자 요청시, 상기 연결된 저장매체들, 논리적 분할들, 파일들의 목록을 표시하는 단계, 및 상기 연결된 저장매체에서 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 사용자에게 출력하는 단계를 포함한다.According to another aspect of the present invention, there is provided a drive access method for digital forensics, comprising: when a storage medium is connected to an operating system equipped with a drive access system for digital forensics, the drive access system for digital forensics: Reading the boot sector of the partition table of the MBR of the connected storage medium and parsing the partition table in the MBR, and, when the user requests the storage medium, And displaying the data of the corresponding file to the user after opening the file requested by the user in the connected storage medium.

바람직하게는, 상기 디지털 포렌식을 위한 드라이브 접근 방법은 상기 연결된 저장매체를 인식하는 단계, 상기 핸들값을 획득하는 단계, 상기 파싱하는 단계, 상기 표시하는 단계에서 수행된 작업들에 대한 모든 사항을 로그에 기록하고 기록된 로그를 저장하는 단계를 더 포함할 수 있다.Advantageously, the drive access method for digital forensics comprises the steps of recognizing the connected storage medium, acquiring the handle value, parsing, and displaying all of the operations performed in the displaying step And storing the recorded log.

상술한 바와 같이, 본 발명에 의한 디지털 포렌식을 위한 드라이브 접근 시스템 및 방법은 윈도우 환경에 연결된 다수의 저장매체에 대해 섹터 단위로 파싱(parcing)을 하여 윈도우 환경에서 접근이 불가능한 파일 시스템에서의 정보에 접근이 가능하게 할 뿐만 아니라, 사용자의 작업 내용을 로그로 남겨 사용자 편의성 및 업무 효율성 향상에 도움이 될 수 있다.As described above, the drive access system and method for digital forensics according to the present invention parse a plurality of storage media connected to a window environment on a sector-by-sector basis, so that information in a file system inaccessible in a window environment In addition to enabling access, it can help users improve convenience and work efficiency by logging user's work contents.

도 1은 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 시스템의 전체 구성을 개략적으로 나타내는 블록도이다.
도 2는 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 방법의 전체 흐름을 개략적으로 나타내는 흐름도이다.1 is a block diagram schematically showing the overall configuration of a drive access system for digital forensics according to a preferred embodiment of the present invention.
2 is a flowchart schematically showing an overall flow of a drive approach method for digital forensics according to a preferred embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as being limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the concept of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

이하에서 제시된 본 발명에 의한 디지털 포렌식을 위한 드라이브 접근 시스템 및 방법은, 설명의 편의를 위해 디지털 포렌식을 수행함에 있어서 NTFS, FAT32을 주로 사용하는 윈도우 환경에 다른 운영 체제에서 사용되는 파일 시스템을 장착하여 디지털 정보를 탐색할 수 있게 하는 경우를 바람직한 실시예로서 제안하며, 이에 제한되는 것은 아니다.For convenience of explanation, the drive access system and method for digital forensation according to the present invention, which is described below, includes a file system used in another operating system in a Windows environment that mainly uses NTFS and FAT32 in performing digital forensic It is possible to search for digital information as a preferred embodiment, but the present invention is not limited thereto.

이하 본 발명의 디지털 포렌식을 위한 드라이브 접근 시스템에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, a drive access system for digital forensics according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 시스템의 전체 구성을 개략적으로 나타내는 블록도이다.1 is a block diagram schematically showing the overall configuration of a drive access system for digital forensics according to a preferred embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 시스템은 저장매체 인식부(110), 저장매체 읽기부(120), 섹터파싱부(130), 탐색부(140), 데이터 뷰어(150) 및 로그 뷰어(160)를 포함하여 이루어진다.1, a drive access system for digital forensics according to a preferred embodiment of the present invention includes a storage medium recognition unit 110, a storage medium reading unit 120, a sector parsing unit 130, a search unit 140, a data viewer 150, and a log viewer 160.

저장매체 인식부(110)는 연결된 저장매체를 인식하여 연결된 저장매체들의 수, 저장매체들의 용량, 저장매체들의 제조사, 저장매체들의 모델명 등을 획득한다.The storage medium recognition unit 110 recognizes the connected storage medium and acquires the number of connected storage mediums, the capacity of the storage mediums, the manufacturer of the storage mediums, and the model name of the storage mediums.

저장매체 읽기부(120)는 연결된 저장매체에서 해당 저장매체를 제어하고 그 안의 데이터를 읽기 위한 핸들값을 구하고, 연결된 저장매체 내 섹터에 접근해서 데이터를 읽는다.The storage medium reading unit 120 controls a corresponding storage medium in a connected storage medium, obtains a handle value for reading data therein, and accesses a sector in the connected storage medium to read data.

섹터 파싱부(130)는 저장매체가 연결되어 저장매체의 맨 앞에 기록되어 있는 시스템 기동용 영역인 마스터 부트 레코드(MBR; Master boot record)가 읽히면 이러한 MBR의 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 섹터 0번, 즉 부트 섹터(boot sector: 분할의 맨 앞에 있는 운영체제 기동 프로그램이 기록된 부분)를 읽어 MBR이 정상적인 시그니처를 가지고 있는지 확인한다. 그리고 MBR 내의 분할표를 파싱(parcing)하여 분할표 엔트리를 선택하고 부팅 가능 여부, 분할의 시작 주소, 분할의 유형, 분할의 끝 주소, 분할의 용량 등을 획득한다. 그리고, 주어진 분할이 어떤 파일 시스템인지를 인식한다.When the master boot record (MBR), which is a system startup area recorded at the front of the storage medium, is read, the sector parser 130 reads the partition table information of the MBR Read the sector 0 of the partition that is started as the base point, that is, the boot sector (the part where the operating system startup program at the front of the partition is recorded) to see if the MBR has a normal signature. Then, the partition table in the MBR is parsed to select the partition table entry, and the bootability, the start address of the partition, the type of partition, the end address of the partition, and the partition capacity are obtained. It then recognizes what file system the given partition is.

탐색부(140)는 사용자 요청시 연결된 저장매체들의 목록을 표시하고, 연결된 저장매체들 내의 논리적 분할들의 목록을 표시하며, 논리적 분할들 내의 파일 목록들을 표시한다.The search unit 140 displays a list of connected storage media upon user request, displays a list of logical partitions within the connected storage media, and displays file lists within the logical partitions.

데이터 뷰어(150)는 상기 연결된 저장매체에서 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 16진수, 즉 헥사값으로 표현한다. 그리고 바이트 단위로 파싱된 정보를 유니코드로 표현하여 사용자에게 출력한다.The data viewer 150 opens the file requested by the user in the connected storage medium, and expresses the data of the corresponding file in hexadecimal, i.e., a hexadecimal value. Then, the information parsed in byte units is expressed in Unicode and output to the user.

로그 뷰어(160)는 위에서 설명한 저장매체 인식부(110)가, 저장매체 읽기부(120), 섹터 파싱부(130), 탐색부(140) 및 데이터 뷰어(150)가 수행한 작업들, 즉 저장매체 접근, 섹터 읽기, 파일 읽기 등에 대한 모든 사항을 시스템 시간에 기반하여 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러올 수 있게 한다. 또한 사용자가 그러한 로그를 인쇄하게 할 수도 있다.The log viewer 160 is a function that the storage medium recognition unit 110 described above performs operations performed by the storage medium reading unit 120, the sector parsing unit 130, the searching unit 140 and the data viewer 150, It records all things about storage media access, sector read, file read, etc. based on system time, logs recorded logs, and allows user to recall stored logs. It also allows the user to print such logs.

그러면, 여기서 상기와 같이 구성된 시스템을 이용한 본 발명의 디지털 포렌식을 위한 드라이브 접근 방법에 대해 설명하기로 한다. 이를 상세히 설명하면 다음과 같다.Hereinafter, a drive access method for digital forensics of the present invention using the system configured as described above will be described. This will be described in detail as follows.

도 2는 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 방법의 전체 흐름을 개략적으로 나타내는 흐름도이다.2 is a flowchart schematically showing an overall flow of a drive approach method for digital forensics according to a preferred embodiment of the present invention.

도 2를 참조하여, 먼저 본 발명의 바람직한 실시예에 따른 디지털 포렌식을 위한 드라이브 접근 시스템을 탑재한 운영체제에 저장매체가 연결되면(S200), 저장매체 인식부(110)가 연결된 저장매체를 인식하여 연결된 저장매체들의 수, 저장매체들의 용량, 저장매체들의 제조사, 저장매체들의 모델명 등을 획득한다(S210).Referring to FIG. 2, when a storage medium is connected to an operating system equipped with a drive access system for digital forensics according to a preferred embodiment of the present invention (S200), the storage medium recognizing unit 110 recognizes a storage medium connected thereto The number of connected storage media, the capacity of storage media, the maker of storage media, the model name of storage media, and the like (S210).

그리고 저장매체 읽기부(120)가 연결된 저장매체에서 해당 저장매체를 제어하고 그 안의 데이터를 읽기 위한 핸들값을 구하고, 연결된 저장매체 내 섹터에 접근해서 데이터를 읽는다(S220).In step S220, the storage medium reading unit 120 controls the corresponding storage medium in the storage medium to which the storage medium is connected, obtains a handle value for reading the data therein, and accesses the sector in the connected storage medium to read the data.

그리고 저장매체의 맨 앞에 기록되어 있는 시스템 기동용 영역인 마스터 부트 레코드(MBR; Master boot record)가 읽히면, 섹터 파싱부(130)가 이러한 MBR의 분할표(partition table)의 정보를 기점으로 기동하는 분할(partition)의 섹터 0번, 즉 부트 섹터(boot sector: 분할의 맨 앞에 있는 운영체제 기동 프로그램이 기록된 부분)를 읽어 MBR이 정상적인 시그니처를 가지고 있는지 확인한다. 그리고 MBR 내의 분할표를 파싱(parcing)하여 분할표 엔트리를 선택하고 부팅 가능 여부, 분할의 시작 주소, 분할의 유형, 분할의 끝 주소, 분할의 용량 등을 획득한다. 그리고, 주어진 분할이 어떤 파일 시스템인지를 인식한다(S230).When a master boot record (MBR), which is a system boot area recorded at the head of the storage medium, is read, the sector parser 130 starts the information of the partition table of the MBR as a start point Reads the sector # 0 of the partition to which the boot sector belongs, ie, the part where the operating system start program at the front of the partition is recorded, and verifies whether the MBR has a normal signature. Then, the partition table in the MBR is parsed to select the partition table entry, and the bootability, the start address of the partition, the type of partition, the end address of the partition, and the partition capacity are obtained. Then, it is recognized which file system the given partition is in (S230).

그리고 사용자 요청시(S235), 탐색부(140)가 연결된 저장매체들의 목록을 표시하고, 연결된 저장매체들 내의 논리적 분할들의 목록을 표시하며, 논리적 분할들 내의 파일 목록들을 표시한다(S240).In operation S235, the search unit 140 displays a list of storage media to which the search unit is connected, displays a list of logical partitions in the connected storage media, and displays file lists in the logical partitions in operation S240.

마지막으로 데이터 뷰어(150)가 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 16진수, 즉 헥사값으로 표현한다. 그리고 이렇게 바이트 단위로 파싱된 정보를 유니코드로 표현하여 사용자에게 출력한다(S250).Finally, after the data viewer 150 opens the file requested by the user, the data of the corresponding file is expressed in hexadecimal, that is, the hexadecimal value. Then, information parsed in units of bytes is expressed in Unicode and output to the user (S250).

또한 로그 뷰어(160)가 위에서 설명한 단계 S210 내지 S250에서 수행한 작업들, 즉 저장매체 접근, 저장매체 읽기, 섹터 읽기, 파일 읽기 등에 대한 모든 사항을 시스템 시간에 기반하여 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러올 수 있게 한다. 또한 사용자가 그러한 로그를 인쇄하게 할 수도 있다(S260).In addition, the log viewer 160 records all the operations performed in the above-described steps S210 to S250, that is, access to the storage medium, reading of the storage medium, reading of the sector, reading of the file, And allows the user to recall stored logs. The user may also print such logs (S260).

이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것은 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the present invention is not limited to the disclosed exemplary embodiments, but various modifications may be made without departing from the spirit of the invention.

110; 저장매체 인식부
120; 저장매체 읽기부
130; 섹터 파싱부
140; 탐색부
150; 데이터 뷰어
160; 로그 뷰어110; The storage medium recognition unit
120; The storage medium reading unit
130; The sector parsing unit
140; The search section
150; Data Viewer
160; Log Viewer

Claims (4)

연결된 저장매체를 인식하여 연결된 저장매체들의 수, 저장매체들의 용량, 저장매체들의 제조사, 저장매체들의 모델명을 획득하는 저장매체 인식부;
상기 연결된 저장매체에서 해당 저장매체를 제어하고 그 안의 데이터를 읽기 위한 핸들값을 구하고, 연결된 저장매체 내 섹터에 접근해서 데이터를 읽는 저장매체 읽기부;
상기 연결된 저장매체의 마스터 부트 레코드(MBR; Master boot record)의 분할표(partition table)의 부트 섹터(boot sector)를 읽고, 상기 MBR 내의 분할표를 파싱(parcing)하는 섹터 파싱부;
사용자 요청시, 상기 연결된 저장매체들, 논리적 분할들, 파일들의 목록을 표시하는 탐색부;
상기 연결된 저장매체에서 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 16진수 헥사값으로 사용자에게 출력하는 데이터 뷰어; 및
상기 저장매체 인식부, 상기 저장매체 읽기부, 상기 섹터 파싱부, 상기 탐색부 및 상기 데이터 뷰어가 수행한 작업들에 대한 모든 사항을 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러올 수 있게 하는 로그 뷰어;를 포함하는 것을 특징으로 하는 디지털 포렌식을 위한 드라이브 접근시스템.A storage medium recognizing unit for recognizing the connected storage medium and acquiring the number of connected storage mediums, the capacity of the storage mediums, the manufacturer of the storage mediums, and the model name of the storage mediums;
A storage medium reading unit for controlling a corresponding storage medium in the connected storage medium, obtaining a handle value for reading data therein, and accessing a sector in a connected storage medium to read data;
A sector parser for reading a boot sector of a partition table of a master boot record (MBR) of the connected storage medium and parsing a partition table in the MBR;
A search unit for displaying a list of the connected storage media, logical partitions, and files upon user request;
A data viewer for outputting data of a corresponding file to a user in a hexadecimal value after opening a file requested by the user in the connected storage medium; And
The storage medium recognition unit, the storage medium reading unit, the sector parsing unit, the searching unit, and the data viewer are all recorded in the log, and the recorded log is stored. And a log viewer for enabling digital forensics. 삭제delete 저장매체 인식부, 저장매체 읽기부, 섹터 파싱부, 탐색부 및 데이터 뷰어가 수행한 작업들에 대한 모든 사항을 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러올 수 있게 하는 로그 뷰어를 포함하는 디지털 포렌식을 위한 드라이브 접근시스템의 방법으로서,
드라이브 장착 시스템을 탑재한 운영체제에 저장매체가 연결되면, 연결된 저장매체를 인식하는 단계;
상기 저장매체 인식부가 상기 연결된 저장매체를 인식하여 연결된 저장매체들의 수, 저장매체들의 용량, 저장매체들의 제조사, 저장매체들의 모델명을 획득하는 단계;
상기 저장매체 읽기부가 상기 연결된 저장매체에서 해당 저장매체를 제어하고 그 안의 데이터를 읽기 위한 핸들값을 구하고, 연결된 저장매체 내 섹터에 접근해서 데이터를 읽는 단계;
상기 저장매체의 맨 앞에 기록되어 있는 시스템 기동용 영역인 마스터 부트 레코드(MBR; Master boot record)가 읽히면, 상기 섹터 파싱부가 상기 연결된 저장매체의 MBR의 분할표 부트 섹터를 읽고, 상기 MBR 내의 분할표를 파싱하는 단계;
사용자 요청시, 상기 연결된 저장매체들, 논리적 분할들, 파일들의 목록을 표시하는 단계;
상기 연결된 저장매체에서 사용자가 요청한 파일을 연 후 해당 파일의 데이터를 16진수 헥사값으로 사용자에게 출력하는 단계; 및
상기 연결된 저장매체를 인식하는 단계, 상기 핸들값을 획득하는 단계, 상기 파싱하는 단계, 상기 표시하는 단계에서 수행된 작업들에 대한 모든 사항을 로그에 기록하고 기록된 로그를 저장하며 사용자가 저장된 로그를 불러오는 단계;를 포함하며,
상기 파싱하는 단계는,
MBR 내의 분할표를 파싱하여 분할표 엔트리를 선택하고 부팅 가능 여부, 분할의 시작 주소, 분할의 유형, 분할의 끝 주소, 분할의 용량을 획득하고, 주어진 분할이 어떤 파일 시스템인지를 인식하는 단계를 포함하는 것을 특징으로 하는 디지털 포렌식을 위한 드라이브 접근 방법.A log viewer which records all the operations performed by the storage medium recognition unit, the storage medium reading unit, the sector parsing unit, the search unit, and the data viewer in a log, stores the recorded log, A method of a drive access system for digital forensics,
Recognizing a connected storage medium when a storage medium is connected to an operating system equipped with the drive mounting system;
The storage medium recognizing unit recognizing the connected storage medium and acquiring the number of connected storage media, capacity of storage media, maker of storage media, and model name of storage media;
Reading the data by accessing a sector in a connected storage medium and obtaining a handle value for controlling the storage medium in the connected storage medium and reading data therein;
When a master boot record (MBR), which is a system boot area recorded at the head of the storage medium, is read, the sector parser reads the partition table boot sector of the MBR of the connected storage medium, Parsing the table;
Displaying a list of the connected storage media, logical partitions, and files upon user request;
Opening a file requested by the user in the connected storage medium and outputting the data of the file to a user in hexadecimal hexadecimal value; And
The method comprising the steps of: recognizing the connected storage medium; acquiring the handle value; parsing; and recording all of the operations performed in the displaying step in a log, storing the recorded log, The method comprising:
Wherein the parsing comprises:
Parsing the partition table in the MBR to select the partition table entry and obtaining bootability, starting address of partition, type of partition, end address of partition, capacity of partition, and recognizing which file system the given partition is The method comprising the steps of: 삭제delete
KR1020160161354A 2016-11-30 2016-11-30 Drive mounter system and method for digital forensic KR101864790B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160161354A KR101864790B1 (en) 2016-11-30 2016-11-30 Drive mounter system and method for digital forensic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160161354A KR101864790B1 (en) 2016-11-30 2016-11-30 Drive mounter system and method for digital forensic

Publications (1)

Publication Number Publication Date
KR101864790B1 true KR101864790B1 (en) 2018-06-07

Family

ID=62621275

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160161354A KR101864790B1 (en) 2016-11-30 2016-11-30 Drive mounter system and method for digital forensic

Country Status (1)

Country Link
KR (1) KR101864790B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102056284B1 (en) 2018-10-26 2019-12-16 (주)명정보기술 A method for identifying allocation area and non-allocation area, and for reconstituting image data to recover black box image data
KR102079519B1 (en) * 2018-10-26 2020-02-20 (주)명정보기술 A method for identifying TAT file system, and for confirming an image save area to recover a black box image data

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007067425A2 (en) * 2005-12-06 2007-06-14 David Sun Forensics tool for examination and recovery of computer data
KR20110021125A (en) * 2009-08-25 2011-03-04 한국전자통신연구원 Method and apparatus for recovering partition
US8656095B2 (en) * 2010-02-02 2014-02-18 Cylance, Inc. Digital forensic acquisition kit and methods of use thereof
KR101367062B1 (en) 2013-02-17 2014-02-24 (주)인정보 Direct file access system and method using disk interface command in computer foresic process

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007067425A2 (en) * 2005-12-06 2007-06-14 David Sun Forensics tool for examination and recovery of computer data
KR20110021125A (en) * 2009-08-25 2011-03-04 한국전자통신연구원 Method and apparatus for recovering partition
US8656095B2 (en) * 2010-02-02 2014-02-18 Cylance, Inc. Digital forensic acquisition kit and methods of use thereof
KR101367062B1 (en) 2013-02-17 2014-02-24 (주)인정보 Direct file access system and method using disk interface command in computer foresic process

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102056284B1 (en) 2018-10-26 2019-12-16 (주)명정보기술 A method for identifying allocation area and non-allocation area, and for reconstituting image data to recover black box image data
KR102079519B1 (en) * 2018-10-26 2020-02-20 (주)명정보기술 A method for identifying TAT file system, and for confirming an image save area to recover a black box image data

Similar Documents

Publication Publication Date Title
US9286165B2 (en) Apparatus and method for recovering partition using backup boot record information
JP4388078B2 (en) Method for generating symbolic link maintaining compatibility with file system, method and apparatus for accessing file / directory using symbolic link
US7836105B2 (en) Converting file-systems that organize and store data for computing systems
CN100458699C (en) Method and system for updating fastener
TWI432987B (en) Memory storage device, memory controller thereof, and method for virus scanning
US9235583B2 (en) Virtual media with folder-mount function
US8024363B2 (en) Information processing apparatus, information processing method, program and program recording medium
JP2009512033A (en) Data backup application emulation components
JP2002055995A (en) Method and device for information processing
JP2009512034A (en) Data backup device and data backup method
US20080212225A1 (en) Information processing apparatus, information recording medium, and information processing method, and computer program
US8185684B1 (en) Method and apparatus for resolving volume identifiers associated with a virtual machine
WO2020103493A1 (en) Method and system for recovering deleted file based on fat32 file system
US20070223879A1 (en) Apparatus, method, and computer program for processing information
KR20110099095A (en) Device and method for filtering a file system
WO2018040802A1 (en) Full-image file generation method and apparatus, and computer storage medium
KR101864790B1 (en) Drive mounter system and method for digital forensic
JP2012113789A (en) Hard disk drive device and processing device thereof
US12056500B2 (en) Apparatus for driving external operating system and method therefor
US9405525B2 (en) Computer system and device driver installation method
US20090150592A1 (en) Storage device with multiple management identity and management method thereof
JP2007108853A (en) Information processor, information processing method, and computer program
US8200936B2 (en) Systems and methods for recording information to a memory card
US8495279B2 (en) Flash file system and driving method thereof
TWI483108B (en) Method and system for storing and accessing data of hard disk

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant