KR102294926B1 - Automated system for forming analyzed data by extracting original data - Google Patents

Automated system for forming analyzed data by extracting original data Download PDF

Info

Publication number
KR102294926B1
KR102294926B1 KR1020190097674A KR20190097674A KR102294926B1 KR 102294926 B1 KR102294926 B1 KR 102294926B1 KR 1020190097674 A KR1020190097674 A KR 1020190097674A KR 20190097674 A KR20190097674 A KR 20190097674A KR 102294926 B1 KR102294926 B1 KR 102294926B1
Authority
KR
South Korea
Prior art keywords
data
analysis
file
information
unit
Prior art date
Application number
KR1020190097674A
Other languages
Korean (ko)
Other versions
KR20210017839A (en
Inventor
최운영
Original Assignee
한국디지털포렌식센터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국디지털포렌식센터 주식회사 filed Critical 한국디지털포렌식센터 주식회사
Priority to KR1020190097674A priority Critical patent/KR102294926B1/en
Publication of KR20210017839A publication Critical patent/KR20210017839A/en
Application granted granted Critical
Publication of KR102294926B1 publication Critical patent/KR102294926B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/116Details of conversion of file system types or formats
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/119Details of migration of file systems

Abstract

본 발명은 원본 저장소에 전기적으로 접속되면, 원본 저장소와의 전기적 신호의 송수신을 통해 원본 저장소와의 전기적 접속 상태를 감지하는 접속 감지 유닛; 접속 감지 유닛이 접속 상태로 감지하면, 원본 저장소로부터 복제하고자 하는 목적 데이터를 읽어 들이는 로딩 유닛; 로딩 유닛이 목적 데이터를 읽어들이면 목적 데이터를 이미지 파일의 형태로 복제하는 이미징 유닛; 미리 결정된 분석 리스팅 정보에 기초하여, 이미징 유닛이 이미지화한 이미지 파일을 분석하는 애널라이징 유닛; 및 미리 결정된 분석 리스팅 정보에 기초하여 분석한 후, 분석 데이터를 추출하고 형성시키는 데이터 포밍 유닛을 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템. The present invention provides a connection detection unit that, when electrically connected to the original storage, detects an electrical connection state with the original storage through transmission and reception of electrical signals to and from the original storage; a loading unit that reads target data to be copied from the original storage when the connection detection unit detects the connection state; an imaging unit that copies the target data in the form of an image file when the loading unit reads the target data; an analyzing unit that analyzes the image file imaged by the imaging unit based on the predetermined analysis listing information; and a data forming unit configured to extract and form the analysis data after analysis based on the predetermined analysis listing information.

Description

원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템{Automated system for forming analyzed data by extracting original data}Automated system for forming analyzed data by extracting original data}

본 발명은 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템에 관한 것으로서, 보다 자세하게는, 분석에 필요한 목적 데이터를 원본 저장소로부터 타깃 저장소로 자동으로 추출하고 이미지 파일의 형태로 복제한 뒤, 자동으로 데이터를 분석하고 형성하는 시스템에 관한 기술분야이다.The present invention relates to a system for automatically forming analysis data through automatic extraction of original data, and more specifically, automatically extracts target data required for analysis from an original storage to a target storage, copies them in the form of an image file, and automatically It is a technical field related to systems that analyze and form data.

IT 기술의 발전으로 인해 정보화 사회가 고도화됨에 따라 스마트폰, 태블릿, PC 등을 이용하한 전자 문서의 활용이 증대되고 있다.As the information society is advanced due to the development of IT technology, the use of electronic documents using smartphones, tablets, PCs, etc. is increasing.

컴퓨터를 통해 작성된 전자 문서는 복사와 수정이 매우 쉬우며 대용량의 기록을 삭제하는 것도 마우스 클릭 한 번으로 해결된다. 또한, 전자문서는 컴퓨터에서 파일을 다른 위치로 복사하면 사본 파일과 원본 파일은 내용상으로는 차이가 없는 같은 파일로 보인다는 특징이 있다. Electronic documents created through a computer are very easy to copy and edit, and deleting large amounts of records can be done with a single mouse click. In addition, the electronic document has a characteristic that when a file is copied from a computer to another location, the copy file and the original file appear as the same file with no difference in content.

그러나, 전자 문서의 기술력이 고도화됨에 관련 범죄가 증가하였고, 그뿐만 아니라 일반 범죄에서도 중요 단서를 컴퓨터를 포함한 디지털 정보기기에 보관하는 경우가 증가함에 따라, 증거 수집 및 분석을 위한 전문적인 디지털 포렌식 기술이 요구되고 있다. However, as the technology of electronic documents is advanced, related crimes have increased, and as the case of storing important clues in digital information devices including computers increases in general crime as well, professional digital forensic technology for evidence collection and analysis this is being requested

디지털 포렌식은 정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 신규 보안서비스분야이다.Digital forensics is a new field of security services that identifies and proves the facts of an action that occurred using the information device as a medium based on the digital data embedded in the information device.

디지털 포렌식은 범죄수사, 민사분쟁, 침해사고 등에 대해 매우 유용하게 쓰이고 있다. 최근 기업 내 정보 감사 및 산업기술 유출 방지를 위한 활동에 도입되는 추세가 확산되고 있다. 산업기술 유출을 막기 위해 디지털 증거의 학보 방안으로 기업 내에 디지털 포렌식과 관련한 기술의 도입이 권장되고 있다. 예로써 포렌식 기술은 보험사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료 수집 및 내부 정보 유출 방지, 회계 감사 등의 내부 보안 강화에 활용이 가능하다.Digital forensics is very useful for criminal investigations, civil disputes, and infringement accidents. Recently, the trend of being introduced to information audits in companies and activities to prevent industrial technology leakage is spreading. In order to prevent industrial technology leakage, the introduction of digital forensics-related technologies within companies is recommended as a means of academic journalism for digital evidence. For example, forensic technology can be used to strengthen internal security such as collecting legal evidence for insurance fraud and internet banking damage compensation, preventing internal information leakage, and auditing.

디지털 포렌식은 보통 증거물 획득, 보관 및 이송, 분석 및 조사, 보고서 작성 등의 절차를 따른다. 증거물 획득이란 사건 현장에서 디지털 증거물을 수집하는 절차이다. 보관 및 이송은 증거물을 분석실로 이송하여 디지털 증거물의 이미지를 만드는 작업을 하는 단계로 분석 및 조사를 위한 준비 절차이다. 분석 및 조사는 증거물로 쓰이는 데이터를 복구하고 파일 검색, 암호 해독, 해시 분석, 시그니쳐 분석 등 다양한 포렌식 분석 기법을 이용하여 디지털 데이터를 분석한다. 마지막으로 보고서 작성 절차에서는 디지털 증거물의 전문가 입장에서 분석 및 조사에서의 결과를 일반인들이 알기 쉽게 설명하여 법정 등에 제출한다.Digital forensics usually follows procedures such as obtaining, storing and transferring evidence, analyzing and investigating, and creating a report. Evidence acquisition is the process of collecting digital evidence at the scene of an incident. Storage and transfer is the stage of making images of digital evidence by transferring evidence to the analysis room, and it is a preparation procedure for analysis and investigation. Analysis and investigation recovers data used as evidence and analyzes digital data using various forensic analysis techniques such as file search, decryption, hash analysis, and signature analysis. Lastly, in the report preparation procedure, the results of analysis and investigation from the point of view of experts in digital evidence are explained in an easy-to-understand manner to the general public and submitted to courts.

또한, 디지털 기록이 증거물로 사용되기 위해서는 입수 과정 및 분석과정 등의 디지털 포렌식 전 과정에서 위조와 변조의 가능성을 없애기 위한 다양한 장치를 두고 증거물이 변조되지 않았음을 증명하기 위한 다양한 방법을 사용한다.In addition, in order for digital records to be used as evidence, various devices are used to eliminate the possibility of forgery and falsification in the entire digital forensic process, including the acquisition process and analysis process, and various methods are used to prove that the evidence is not tampered with.

관련된 선행 특허문헌의 예로서 "디지털 증거 분석 시스템 및 그 방법" (등록번호 제10-1288034호, 이하 특허문헌1이라 한다.)"이 존재한다.As an example of a related prior patent document, "Digital Evidence Analysis System and its Method" (Registration No. 10-1288034, hereinafter referred to as Patent Document 1)" exists.

특허문헌1에 따른 발명은 디지털 증거 분석 시스템은 업무관리 시스템에 접속된 사용자 단말기에 대해 사용자 인증을 수행하는 제1 네트워크, 디지털 포렌식 중 확보된 디지털 증거 파일에 대한 분석을 위하여 분석망에 접속된 사용자 단말기가 디지털 증거 분석 시스템에 접속하는 제2 네트워크, 및 상기 분석망에 접속된 사용자 단말기에 대해 VLAN(Virtual LAN) ID를 개별적으로 할당하고, 상기 할당된 VLAN ID에 대응되는 독립된 가상 데스크톱을 생성하여 사용자 단말기에 제공하는 제3 네트워크를 포함한다. 이러한 구성을 통해 본 발명은 디지털 증거 분석 시스템의 접속 영역(네트워크 망)을 공용망과 사설망으로 구분하되, 상기 공용망에 접속된 사용자 단말기에 대해 VLAN(Virtual LAN ID를 개별적으로 할당하여 사용자 단말기에 제공함으로써 보안성을 향상시키는 효과가 있는 것을 특징으로 한다.In the invention according to Patent Document 1, a digital evidence analysis system is a first network that performs user authentication on a user terminal connected to a work management system, a user connected to an analysis network for analysis of digital evidence files secured during digital forensics By individually allocating a VLAN (Virtual LAN) ID to the second network where the terminal accesses the digital evidence analysis system, and the user terminal connected to the analysis network, an independent virtual desktop corresponding to the assigned VLAN ID is created. and a third network provided to the user terminal. Through this configuration, the present invention divides the access area (network network) of the digital evidence analysis system into a public network and a private network. It is characterized in that it has the effect of improving security by providing it.

또 다른 개시된 선행 특허문헌으로는 "디지털 포렌식 기반의 디지털 데이터를 수집하는 장치 및 방법"(등록번호 제10-1870670호, 이하 특허문헌2라 한다.)"이 존재한다.As another disclosed prior patent document, "an apparatus and method for collecting digital forensic-based digital data" (Registration No. 10-1870670, hereinafter referred to as Patent Document 2)" exists.

특허문헌2에 따른 발명은 디지털 포렌식 기반의 디지털 데이터를 수집하는 장치 및 방법을 개시한다. 본 발명의 일실시예에 따르면 디지털 포렌식 기반의 데이터 수집 장치는 수집 대상 장치의 동작을 제어하여 상기 제어된 수집 대상 장치로부터 증거 데이터를 수집하는 증거 수집부, 상기 제어된 수집 대상 장치가 상기 제어된 동작에 기초하여 상기 제어된 수집 대상 장치의 화면 상에 표시하고 있는 제1 영상을 표시하는 표시부, 상기 제어된 수집 대상 장치의 주변 환경과 관련된 제2 영상을 촬영하는 영상 촬영부; 상기 표시된 제1 영상, 상기 촬영된 제2 영상, 및 제3 영상 중 적어도 하나 이상을 결합하여 영상 데이터를 생성하는 영상 생성부, 상기 생성된 영상 데이터에 대한 제1해시값을 계산하는 해시 계산부, 상기 계산된 제1 해시값과 상기 영상 데이터의 영상 정보를 결합하여 사용자 데이터를 생성하는 사용자 데이터 생성부, 및 상기 생성된 영상 데이터와 상기 생성된 사용자 데이터를 포함하는 컨테이너 파일을 저장하는 컨테이너 파일 저장부를 포함하는 것을 특징으로 한다.The invention according to Patent Document 2 discloses an apparatus and method for collecting digital data based on digital forensics. According to an embodiment of the present invention, a digital forensic-based data collection device includes an evidence collection unit configured to collect evidence data from the controlled collection target device by controlling the operation of the collection target device, and the controlled collection target device is the controlled device. a display unit configured to display a first image displayed on the screen of the controlled collection target device based on an operation, and an image capture unit configured to capture a second image related to a surrounding environment of the controlled collection target device; An image generating unit generating image data by combining at least one of the displayed first image, the photographed second image, and the third image, and a hash calculation unit calculating a first hash value for the generated image data , a user data generator generating user data by combining the calculated first hash value with image information of the image data, and a container file for storing a container file including the generated image data and the generated user data It is characterized in that it includes a storage unit.

특허문헌1, 특허문헌2의 경우, 디지털 포렌식 기반의 증거 데이터 수집과 분석에 대한 기술적 사상을 개시하고 있다.In the case of Patent Document 1 and Patent Document 2, technical ideas for digital forensic-based evidence data collection and analysis are disclosed.

그러나, 특허문헌1의 기술의 경우, 제1네트워크, 제2네트워크, 제3네트워크를 포함하며 각각 네트워크에 따른 접속 영역을 구분하게 되므로 복잡한 형태를 가진 디지털 증거 분석 시스템이며, 디지털 데이터를 자동 추출하고 분석한다는 기술적 사상이 미비하다.However, in the case of the technology of Patent Document 1, it includes the first network, the second network, and the third network and separates the access area according to each network, so it is a digital evidence analysis system with a complex form, and The technical idea of analysis is insufficient.

특허문헌2의 경우, 디지털 포렌식 기반의 디지털 데이터를 수집하기 위한 환경을 설정하고, 수집된 디지털 데이터를 함께 관리하는 장치 및 방법에 관한 것으로, 단순히 디지털 포렌식 기반의 데이터를 수집하는 장치에 초점을 두고 있으며, 디지털 데이터를 복제하고 분석하는 일련의 과정들에 대한 기술적 사상이 존재하지 않는다.In the case of Patent Document 2, it relates to an apparatus and method for setting an environment for collecting digital forensic-based digital data and managing the collected digital data together, focusing on a device for collecting digital forensic-based data. There is no technical idea for a series of processes of duplicating and analyzing digital data.

등록번호 제10-1288034호Registration No. 10-1288034 등록번호 제10-1870670호Registration No. 10-1870670

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 상기한 바와 같은 종래 문제점을 해결하기 위해 안출된 것으로서, 다음과 같은 해결하고자 하는 과제를 제시한다.The system for automatically forming analysis data through automatic extraction of original data according to the present invention has been devised to solve the conventional problems as described above, and presents the following problems to be solved.

첫째, 디지털 증거를 얻는 과정에서 원본 데이터의 손실 없이 현장에서 장비에 장치를 연결하여 기초 분석을 진행하여 분석 시간을 단축하고자 한다.First, in the process of obtaining digital evidence, we want to shorten the analysis time by connecting the device to the equipment in the field and performing basic analysis without loss of original data.

둘째, 분석에 필요한 데이터의 우선순위를 선별하여 미리 분석 리스팅 정보를 만들고 이에 기초하여 효율적인 분석을 진행하고자 한다.Second, we want to create analysis listing information in advance by selecting the priority of data required for analysis, and perform efficient analysis based on this.

셋째, 디지털 증거에 필요한 데이터를 원본 저장소와의 전기적 신호의 송수신을 통해 자동으로 추출하고 복제하며 자동으로 데이터를 분석하고 형성하고자 한다.Third, data required for digital evidence is automatically extracted and duplicated through transmission and reception of electrical signals with the original storage, and data is automatically analyzed and formed.

본 발명의 해결 과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved of the present invention are not limited to those mentioned above, and other problems not mentioned will be clearly understood by those skilled in the art from the following description.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 상기의 해결하고자 하는 과제를 위하여 다음과 같은 과제 해결 수단을 가진다.The system for automatically forming analysis data through automatic extraction of original data according to the present invention has the following problem solving means for the problems to be solved above.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 원본 저장소에 전기적으로 접속되면, 상기 원본 저장소와의 전기적 신호의 송수신을 통해 상기 원본 저장소와의 전기적 접속 상태를 감지하는 접속 감지 유닛; 상기 접속 감지 유닛이 상기 접속 상태로 감지하면, 상기 원본 저장소로부터 복제하고자 하는 목적 데이터를 읽어 들이는 로딩 유닛; 상기 로딩 유닛이 상기 목적 데이터를 읽어들이면 상기 목적 데이터를 이미지 파일의 형태로 복제하는 이미징 유닛; 미리 결정된 분석 리스팅 정보에 기초하여, 상기 이미징 유닛이 이미지화한 상기 이미지 파일을 분석하는 애널라이징 유닛; 및 상기 미리 결정된 분석 리스팅 정보에 기초하여 분석한 후, 분석 데이터를 추출하고 형성시키는 데이터 포밍 유닛을 포함하는 것을 특징으로 할 수 있다.In the case of the automatic analysis data formation system through automatic extraction of original data according to the present invention, when electrically connected to the original storage, the connection to detect the electrical connection state with the original storage through transmission and reception of electrical signals to and from the original storage sensing unit; a loading unit that reads target data to be copied from the original storage when the connection detection unit detects the connection state; an imaging unit that copies the target data in the form of an image file when the loading unit reads the target data; an analyzing unit that analyzes the image file imaged by the imaging unit based on predetermined analysis listing information; And after analysis based on the predetermined analysis listing information, it may be characterized in that it comprises a data forming unit for extracting and forming the analysis data.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 접속 감지 유닛은, 상기 원본 저장소와의 2개 이상 전기적으로 접속된 도선을 통해 상기 전기적 신호를 교차적으로 송수신하여, 상기 전기적 접속 상태를 불연속적으로 감지하여, 상기 전기적 접속 상태를 지속적으로 확인하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the connection detection unit alternately transmits and receives the electrical signal through two or more electrically connected wires with the original storage, By discontinuously detecting the electrical connection state, it may be characterized in that the electrical connection state is continuously checked.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 이미징 유닛은, 상기 원본 저장소의 목적 데이터를 해시함수로 매개로 하여, 해시 테이블에 매핑하고, 상기 목적 데이터의 어느 일 데이터의 호출이 있게 되면 상기 어느 일 데이터에 할당된 해시함수를 매개로 하여 호출된 상기 어느 일 데이터를 읽어 들이도록 하는 데이터 해싱부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the imaging unit uses the target data of the original storage as a hash function as a medium, maps it to a hash table, and maps any one of the target data to a hash table. When there is a call of data, it may be characterized in that it includes a data hashing unit for reading the one data called through the hash function assigned to the one data as a medium.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소를 구동하는 OS(Operating System)의 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 OS자취 분석부를 포함하는 것을 특징으로 할 수 있다. In the case of the automatic analysis data formation system through automatic extraction of original data according to the present invention, the analyzing unit is configured to track trace information of an OS (Operating System) that drives the original storage to the predetermined analysis listing information. It may be characterized by including an OS trace analysis unit to be nested.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 OS의 자취 정보는, 상기 OS 이름, 상기 OS ID, 상기 OS ID 소유자, 상기 OS IS 소유자의 소속, 상기 OS 버전, 상기 OS가 설치된 PC(Personal Computer)의 이름, 상기 OS의 시작 시각, 상기 OS의 종료시각, 상기 OS를 통한 네트워크 접속 정보, 상기 OS의 절전 모드 온-오프(on-off) 시각 및 상기 OS 패스워드(Password)로 이루어진 일군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the OS trace information includes the OS name, the OS ID, the OS ID owner, the affiliation of the OS IS owner, the OS version, The name of the PC (Personal Computer) in which the OS is installed, the start time of the OS, the end time of the OS, network connection information through the OS, the power saving mode on-off time of the OS, and the OS password (Password) may be characterized in that it includes at least one or more from a group consisting of.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기의 전기적으로 접속된 외부 저장소와의 접속 정보의 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 익스터널 접속 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the analyzing unit tracks trace information of connection information with an electrically connected external storage of the terminal equipped with the original storage. It may be characterized in that it comprises an external connection analysis unit to be nested in the predetermined analysis listing information.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 자취 정보는, 상기 외부 저장소의 접속 개시 시각, 상기 외부 저장소의 접속 종료 시각, 상기 외부 저장소의 ID 정보, 상기 외부 저장소로 전송되어 복사된 정보 및 상기 외부 저장소로부터 전송된 정보로 이루어진 일 군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the trace information includes the connection start time of the external storage, the connection end time of the external storage, ID information of the external storage, and the external storage It may be characterized in that it includes at least one or more from a group consisting of information transmitted to and copied from and information transmitted from the external storage.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기에서 구동되는 웹 브라우저의 사용 히스토리를 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 웹 브라우저 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the analyzing unit is configured to track trace information of the use history of a web browser driven in a terminal equipped with the original storage device. It may be characterized in that it includes a web browser analysis unit to be nested in the analysis listing information.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기의 OS 체제 하에서 파일 사용의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 파일 시스템 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the automatic analysis data formation system through automatic extraction of original data according to the present invention, the analyzing unit analyzes the trace information of file use under the OS system of the terminal equipped with the original storage, the predetermined analysis listing It may be characterized by including a file system analysis unit to be embedded in the information.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 자취 정보는, 상기 파일의 생성 정보, 상기 파일의 삭제 정보, 상기 파일의 복사 정보 및 상기 파일의 수정 정보로 이루어진 일군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 할 수 있다.In the case of the automatic analysis data formation system through automatic extraction of original data according to the present invention, the trace information is a group consisting of creation information of the file, deletion information of the file, copy information of the file, and correction information of the file It may be characterized in that it comprises at least one or more from.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기의 OS의 체제하에서 바로 가기 파일로 상기 목적 데이터의 유출의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 링크 기록 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the analyzing unit may store trace information of the leakage of the target data as a shortcut file under the OS of the terminal equipped with the original storage. It may be characterized in that it comprises a link record analysis unit to include the analysis in the predetermined analysis listing information.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기의 OS 체제 내의 문서 파일, 사진 파일 또는 영상 파일의 메타데이터의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 메타데이터 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the analyzing unit includes: Trace information of metadata of a document file, a photo file, or an image file in the OS system of a terminal equipped with the original storage It may be characterized in that it comprises a metadata analysis unit to include the analysis of the predetermined analysis listing information.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 애널라이징 유닛은, 상기 원본 저장소가 장착된 단말기의 OS 체제 내의 파일 탐색 프로그램을 통해, 폴더의 크기, 폴더 보기 모드, 폴더 아이콘의 위치, 폴더 관리 및 유지를 위한 레지스트리 키 집합, 폴더의 접근 기록의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 쉘백 기록 분석부를 포함하는 것을 특징으로 할 수 있다.In the case of the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the analyzing unit may, through a file search program in the OS system of the terminal equipped with the original storage, determine the size of a folder, a folder view mode, It may be characterized by comprising a shellback record analysis unit that includes in the predetermined analysis listing information to analyze the location of the folder icon, a set of registry keys for folder management and maintenance, and trace information of the access record of the folder.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 경우, 상기 자취 정보를 시각의 순서대로 정렬하여 상기 분석 데이터를 형성시키며, 상기 분석 데이터를 엑셀 파일의 확장자, CSV 파일의 확장자 또는 TXT 확장자를 구비하도록 하는 타임라인 정렬 유닛을 더 포함하는 것을 특징으로 할 수 있다.In the case of the automatic analysis data formation system through automatic extraction of original data according to the present invention, the analysis data is formed by arranging the trace information in the order of time, and the analysis data is converted to an Excel file extension, a CSV file extension, or It may be characterized in that it further comprises a timeline alignment unit to have a TXT extension.

이상과 같은 구성의 본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 다음과 같은 효과를 제공한다.The system for automatically forming analysis data through automatic extraction of original data according to the present invention configured as described above provides the following effects.

첫째, 전기적 신호의 송수신을 통해 원본 저장소에 저장된 원본 데이터를 분석하고 원본 저장소로부터 타깃 저장소 자동으로 추출할 수 있다.First, it is possible to analyze the original data stored in the original storage through transmission and reception of electrical signals and automatically extract the target storage from the original storage.

둘째, 자동 추출된 데이터를 읽어 들여 원본 데이터를 자동으로 복제하고 이미징화 하여 데이터의 손상 없이 증거의 원본성을 얻고, 해싱 기능을 통하여 데이터의 무결성을 확보하게 한다.Second, the original data is automatically copied and imaged by reading the automatically extracted data to obtain the originality of the evidence without damage to the data, and to secure the integrity of the data through the hashing function.

셋째, 이미지화 된 데이터를 미리 결정된 분석 리스팅 정보에 기초하여, 데이터의 자취정보를 자동으로 분석하고 형성할 수 있게 한다. Third, based on the imaged data, the predetermined analysis listing information, it is possible to automatically analyze and form the trace information of the data.

본 발명의 효과는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.Effects of the present invention are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the following description.

도 1은 본 발명의 일 실시예에 따른 전기적 신호에 의해 원본 저장소에서 타깃 저장소로 복제하고자 하는 목적 데이터를 송수신 하는 것을 도시한 개념도이다.
도 2는 본 발명의 일 실시예에 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 중앙 제어부의 블록도이다.
도 3은 본 발명의 일 실시예에 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 애널라이징 유닛의 블록도이다.
도 4는 본 발명의 일 실시예에 따른 OS의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 OS 자취 분석부의 개념도이다.
도 5는 본 발명의 일 실시예에 따른 외부 저장소와의 접속 정보의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 익스터널 접속 분석부의 개념도이다.
도 6은 본 발명의 일 실시예에 따른 웹 브라우저의 사용 히스토리 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 웹 브라우저 분석부의 개념도이다.
도 7은 본 발명의 일 실시예에 따른 OS 체제 하에서 파일 사용의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 파일 시스템 분석부의 개념도이다.
도 8은 본 발명의 일 실시예에 따른 OS체제 내에서 파일 탐색 프로그램을 통해, 폴더의 크기, 폴더의 보기 모드, 폴더 아이콘의 위치, 폴더 관리 및 유지를 위한 레지스트리 키 집합, 폴더의 접근 기록의 자취정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 쉘백 기록 분석부의 개념도이다.
도 9는 본 발명의 일 실시예에 따른 자취 정보를 시각의 순서대로 정렬하여 분석 데이터를 형성시키며, 분석 데이터를 확장자에 따라 구비하도록 하는 타임라인 정렬 유닛의 개념도이다.1 is a conceptual diagram illustrating transmission and reception of target data to be copied from an original storage to a target storage by an electrical signal according to an embodiment of the present invention.
2 is a block diagram of a central control unit of a system for automatically forming analysis data through automatic extraction of original data according to an embodiment of the present invention.
3 is a block diagram of an analyzing unit of a system for automatically forming analysis data through automatic extraction of original data according to an embodiment of the present invention.
4 is a conceptual diagram of an OS trace analysis unit for embedding in predetermined analysis listing information to track trace information of the OS according to an embodiment of the present invention.
5 is a conceptual diagram of an external access analysis unit that includes tracking trace information of access information with an external storage in predetermined analysis listing information according to an embodiment of the present invention.
6 is a conceptual diagram of a web browser analysis unit that includes tracking information on a usage history trace of a web browser in predetermined analysis listing information according to an embodiment of the present invention.
7 is a conceptual diagram of a file system analysis unit that includes analysis of trace information of file use under an OS system according to an embodiment of the present invention in predetermined analysis listing information.
8 is a view showing the size of a folder, a view mode of a folder, a location of a folder icon, a set of registry keys for managing and maintaining a folder, and an access record of a folder through a file search program in an OS system according to an embodiment of the present invention; It is a conceptual diagram of a shellback record analysis unit that includes analysis of trace information in predetermined analysis listing information.
9 is a conceptual diagram of a timeline sorting unit that forms analysis data by arranging trace information in order of time according to an embodiment of the present invention, and includes the analysis data according to an extension.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. The system for automatically forming analysis data through automatic extraction of original data according to the present invention can apply various changes and can have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to a specific embodiment, it should be understood to include all modifications, equivalents and substitutes included in the spirit and scope of the present invention.

도 1은 본 발명의 일 실시예에 따른 전기적 신호에 의해 원본 저장소에서 타깃 저장소로 복제하고자 하는 목적 데이터를 송수신 하는 것을 도시한 개념도이다. 도 2는 본 발명의 일 실시예에 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 중앙 제어부의 블록도이다. 도3은 본 발명의 일 실시예에 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템의 애널라이징 유닛의 블록도이다. 도 4는 본 발명의 일 실시예에 따른 OS의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 OS 자취 분석부의 개념도이다. 도 5는 본 발명의 일 실시예에 따른 외부 저장소와의 접속 정보의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 익스터널 접속 분석부의 개념도이다. 도 6은 본 발명의 일 실시예에 따른 웹 브라우저의 사용 히스토리 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 웹 브라우저 분석부의 개념도이다. 도 7은 본 발명의 일 실시예에 따른 OS 체제 하에서 파일 사용의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 파일 시스템 분석부의 개념도이다. 도 8은 본 발명의 일 실시예에 따른 OS체제 내에서 파일 탐색 프로그램을 통해, 폴더의 크기, 폴더의 보기 모드, 폴더 아이콘의 위치, 폴더 관리 및 유지를 위한 레지스트리 키 집합, 폴더의 접근 기록의 자취정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키는 쉘백 기록 분석부의 개념도이다. 도 9는 본 발명의 일 실시예에 따른 자취 정보를 시각의 순서대로 정렬하여 분석 데이터를 형성시키며, 분석 데이터를 확장자에 따라 구비하도록 하는 타임라인 정렬 유닛의 개념도이다.1 is a conceptual diagram illustrating transmission and reception of target data to be copied from an original storage to a target storage by an electrical signal according to an embodiment of the present invention. 2 is a block diagram of a central control unit of a system for automatically forming analysis data through automatic extraction of original data according to an embodiment of the present invention. 3 is a block diagram of an analyzing unit of a system for automatically forming analysis data through automatic extraction of original data according to an embodiment of the present invention. 4 is a conceptual diagram of an OS trace analysis unit for embedding in predetermined analysis listing information to track trace information of the OS according to an embodiment of the present invention. 5 is a conceptual diagram of an external access analysis unit that includes tracking trace information of access information with an external storage in predetermined analysis listing information according to an embodiment of the present invention. 6 is a conceptual diagram of a web browser analysis unit that includes tracking information on a usage history trace of a web browser in predetermined analysis listing information according to an embodiment of the present invention. 7 is a conceptual diagram of a file system analysis unit that includes analysis of trace information of file use under an OS system according to an embodiment of the present invention in predetermined analysis listing information. 8 is a view showing the size of a folder, a view mode of a folder, a location of a folder icon, a set of registry keys for managing and maintaining a folder, and an access record of a folder through a file search program in an OS system according to an embodiment of the present invention; It is a conceptual diagram of a shellback record analysis unit that includes analysis of trace information in predetermined analysis listing information. 9 is a conceptual diagram of a timeline sorting unit that forms analysis data by arranging trace information in order of time according to an embodiment of the present invention, and includes the analysis data according to an extension.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 도1에 도시된 바와 같이, 전기적 신호에 의해 원본 저장소(10)에서 타깃 저장소(20)로 복제하고자 하는 목적 데이터를 송수신 하게 된다.As shown in FIG. 1, the system for automatically forming analysis data through automatic extraction of original data according to the present invention transmits and receives target data to be copied from the original storage 10 to the target storage 20 by an electrical signal. .

여기서 원본 저장소(10)와 타깃 저장소(20)는 개인컴퓨터, 랩톱, 서버, 컴팩트 디스크, USB, 메모리 카드 등 저장장치와 스마트폰이나 디지털 카메라와 같은 모바일장치 및 허브나 스위치, 라우터 등과 같은 네트워크 장치에 해당될 수 있다.Here, the source storage 10 and the target storage 20 include storage devices such as personal computers, laptops, servers, compact disks, USB and memory cards, mobile devices such as smartphones and digital cameras, and network devices such as hubs, switches, and routers. may apply to

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 도2에 도시된 바와 같이, 타깃 저장소(20)의 중앙 제어부(30)는 접속 감지 유닛(100), 로딩 유닛(200), 이미징 유닛(300), 애널라이징 유닛(400), 데이터 포밍 유닛(500)을 포함하게 된다.As shown in FIG. 2, in the system for automatically forming analysis data through automatic extraction of original data according to the present invention, the central control unit 30 of the target storage 20 includes a connection detection unit 100, a loading unit 200, It includes an imaging unit 300 , an analyzing unit 400 , and a data forming unit 500 .

먼저, 접속 감지 유닛(100)의 경우, 원본 저장소(10)에 전기적으로 접속되면, 원본 저장소(10)로부터 타깃 저장소(20)까지 전기적 신호의 송수신을 이루어지고 이를 접속 감지 유닛(100)이 전기적 접속 상태를 감지하게 되며, 원본 저장소(10)와의 2개 이상 전기적으로 접속된 도선을 통해 상기 전기적 신호를 교차적으로 송수신하며, 동시에 전기적 접속 상태를 지속적으로 확인하고 감지하도록 한다. 이때, 타깃 저장소(20)는 원본 저장소(10)보다 최소한 용량이 같거나 커야 한다.First, in the case of the connection detection unit 100 , when electrically connected to the original storage 10 , transmission and reception of electrical signals from the original storage 10 to the target storage 20 is performed, and the connection detection unit 100 is electrically connected to the connection detection unit 100 . The connection state is sensed, and the electrical signal is alternately transmitted and received through two or more electrically connected wires with the original storage 10, and at the same time, the electrical connection state is continuously checked and detected. At this time, the target storage 20 must have at least the same capacity or greater than the original storage 10 .

도2에 도시된 바와 같이 로딩 유닛(200)은, 접속 감지 유닛(100)에서 전기적 신호를 받아 접속 상태로 감지하면 원본 저장소(10)로부터 복제하고자 하는 목적데이터를 읽어 들이게 된다. 데이터 로딩시 원본 저장소(10)는 읽기 전용으로 설정한 뒤 수행하며, 타깃 저장소(20)는 읽기와 쓰기로 설정하여 수행할 수 있다.As shown in FIG. 2 , the loading unit 200 reads the target data to be copied from the original storage 10 when it receives the electrical signal from the connection detection unit 100 and senses the connection state. When loading data, the original storage 10 is set to read-only, and the target storage 20 is set to read and write.

도2에 도시된 바와 같이 이미징 유닛(300)은, 로딩 유닛(200)이 목적 데이터를 읽어 들이면 목적 데이터를 가독성 있는 이미지 파일의 형태로 복제하게 된다. 원본 저장소(10)에서 증거를 추출하여 바로 분석할 경우 원본 저장소(10) 상의 데이터의 손상이나 변경의 위험에 노출된다. 이미징 유닛(300)은 원본 저장소(10)의 데이터의 손상이나 변경이 가해지는 것을 방지하기 위해 원본 저장소(10)를 물리적으로 동일한 형태의 다른 디스크로 복제하거나 미러(Mirror) 이미지 파일을 생성하는 도구이다. 이미징의 방식으로는 섹터 대 섹터 복사 또는 비트 스트림 복사 방식 등으로 분류된다.As shown in FIG. 2 , the imaging unit 300 copies the target data in the form of a readable image file when the loading unit 200 reads the target data. When the evidence is extracted from the original storage 10 and immediately analyzed, the data on the original storage 10 is exposed to the risk of damage or change. The imaging unit 300 is a tool for cloning the original storage 10 to another disk of the same physical form or creating a mirror image file in order to prevent damage or alteration of the data in the original storage 10 . am. The imaging method is classified into a sector-to-sector copying method or a bitstream copying method.

이미지 유닛은 데이터의 무결성을 증명해주는 데이터 해싱부(310)를 포함하게 되는데, 데이터 해싱부(310)는 원본 저장소(10)의 목적 데이터를 해시함수로 매개로 하여, 해시 테이블에 매핑하고, 목적 데이터의 어느 일 데이터의 호출이 있게 되면 상기 어느 일 데이터에 할당된 해시함수를 매개로 하여 호출된 상기 어느 일 데이터를 읽어 들이는 역할을 한다. 여기서 해시함수(hash function)는 임의의 비트 열을 고정된 길이의 비트 열로 변환시켜주는 함수로 정의된다. 해쉬 함수는 복제본과 원본이 동일함을 입증하고 데이터의 무결성을 검증하는데 사용하는 사용된다. 원본 파일에 대한 해쉬값을 생성하여 보관하고 있으면, 복제본의 해쉬값을 계산하여 원본의 해쉬값과 비교하면 변경이 되었는지 여부를 알 수 있다. 예를 들어, 특정 문서 파일을 해시함수로 변환하면 특정 숫자와 문자로 결합된 유일한 해시값이 생성되며, 해시값이 생성된 문서파일에 임의 변경이 이루어지면 다른 해시값이 생성되어 수집된 파일의 무결성을 판단할 수 있다. The image unit includes a data hashing unit 310 that proves the integrity of the data, and the data hashing unit 310 uses the target data of the original storage 10 as a hash function as a medium, and maps it to a hash table, When a certain piece of data is called, it plays a role of reading the called certain piece of data through a hash function assigned to the certain piece of data as a medium. Here, the hash function is defined as a function that converts an arbitrary bit string into a bit string of a fixed length. The hash function is used to prove that the replica and the original are identical and is used to verify the integrity of the data. If a hash value for the original file is created and stored, the hash value of the duplicate is calculated and compared with the hash value of the original file to determine whether a change has been made. For example, if a specific document file is converted into a hash function, a unique hash value combined with a specific number and letter is generated. integrity can be judged.

도3에 도시된 바와 같이, 애널라이징 유닛(400)은 미리 결정된 분석 리스팅 정보에 기초하여 이미징 유닛(300)에서 이미지화된 이미지 파일을 분석하게 된다.As shown in FIG. 3 , the analyzing unit 400 analyzes the image file imaged by the imaging unit 300 based on predetermined analysis listing information.

이때, 미리 결정된 분석 리스팅 정보는 데이터 분석 과정에서 처리할 데이터의 종류와 양이 많고 필요에 따라서 조사할 데이터가 다르므로, 조사에 필요한 데이터를 미리 선별함으로써 분석할 데이터의 양을 줄이고 효율적이고 신속한 분석을 가능하게 한다. 일반적으로 데이터는 시간 정보에 따른 분류, 위조와 변조 데이터 분류, 응용 프로그램 파일 별 분류, 소유자에 따른 분류 방법으로 나누어 지며 분류된 결과를 토대로 상세한 분석을 진행하며 분류 데이터는 서로 데이터가 중복될 수도 있다. At this time, since the predetermined analysis listing information has many types and amounts of data to be processed in the data analysis process, and different data to be investigated according to need, the amount of data to be analyzed is reduced by preselecting the data required for the investigation, and the amount of data to be analyzed is reduced and analyzed efficiently and quickly. makes it possible In general, data is divided into classification according to time information, classification of forged and tampered data, classification by application file, and classification method by owner, and detailed analysis is performed based on the classified results. .

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 도3에 도시된 바와 같이, 애널라이징 유닛(400)은 OS 자취 분석부(410), 익스터널 접속 분석부(420), 웹 브라우저 분석부(430), 파일 시스템 분석부(440), 링크 기록 분석부(450), 메타데이터 분석부(460) 및 쉘백 기록 분석부(470)를 포함할 수 있다.As shown in FIG. 3 in the automatic analysis data formation system through automatic extraction of original data according to the present invention, the analyzing unit 400 includes an OS trace analysis unit 410, an external connection analysis unit 420, and a web It may include a browser analyzer 430 , a file system analyzer 440 , a link record analyzer 450 , a metadata analyzer 460 , and a shellback record analyzer 470 .

도4에 도시된 바와 같이, OS 자취 분석부(410)는 원본 저장소(10)를 구동하는 OS(Operating System)의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보를 내포시키게 된다. 이때, OS 자취 정보에는 OS의 이름, OS ID, OS ID의 소유자, OS ID 소유자의 소속, OS의 버전, PC의 이름, OS 시작 시각, OS 종료 시각, OS를 통한 네트워크 접속 정보, OS의 절전모드 온-오프 시각, OS 패스워드 등으로 구성되어 있다. As shown in Figure 4, the OS trace analysis unit 410 is to include a predetermined analysis listing information to track the trace information of the OS (Operating System) driving the original storage (10). At this time, the OS trace information includes the name of the OS, OS ID, owner of OS ID, affiliation of OS ID owner, OS version, PC name, OS start time, OS end time, network connection information through OS, power saving of OS It consists of mode on-off time, OS password, etc.

OS 자취 정보는 OS의 레지스트리(Registry)를 통해 추출하여 분석이 가능하다. 레지스트리는 하나 이상의 사용자, 응용 프로그램 및 하드웨어 장치에 맞게 시스템을 구성하는 데 필요한 정보를 저장하는 중앙 계층형 데이터베이스로, 윈도우 운영체제의 레지스트리는 모든 하드웨어, 운영 체제 소프트웨어, 대부분 비운영 체제 소프트웨어, 사용자의 PC, 프로그램, 시스템 등에 대한 정보와 설정이 담겨있다. 사용자가 제어판 설정, 파일 연결, 시스템 정책, 또는 설치된 소프트웨어를 변경하면, 이에 따른 변경 사항들이 레지스트리에 반영되어 저장된다. 레지스트리는 또한 성능 카운터와 현재 사용하고 있는 하드웨어와 같은 런타임 정보를 노출하면서 윈도우를 커널의 운영 체제 안에 제공한다. 레지스트리 하이브(Hive) 파일들은 [SystemRoot] System32Config 폴더에 위치하며, regedit와 같은 명령으로 살펴볼 수 있다. OS trace information can be extracted and analyzed through the OS registry. The registry is a central, hierarchical database that stores the information necessary to configure a system for one or more users, applications, and hardware devices. , program, system information and settings are included. When a user changes control panel settings, file associations, system policies, or installed software, the changes are reflected and saved in the registry. The registry also provides Windows into the kernel's operating system, exposing runtime information such as performance counters and the hardware currently in use. Registry Hive files are located in the [SystemRoot] System32Config folder and can be viewed with a command such as regedit.

도5에 도시된 바와 같이, 익스터널 접속 분석부(420)는 원본 저장소(10)가 장착된 단말기의 전기적으로 접속된 외부 저장소와의 접속 정보의 자취 정보를 추적하는 것을 미리 결정된 분석 리스팅 정보를 내포시키게 된다. 이때, 자취 정보는 외부 저장소의 접속 개시 시각, 외부 저장소의 접속 종료 시각, 외부 저장소의 ID 정보, 외부 저장소로 전송되어 복사된 정보 및 외부 저장소로부터 전송된 정보 등으로 구성되어 있다. 익스터널 접속부의 자취 정보는 윈도우 레지스트리나 이벤트 로그를 통해 분석할 수 있다. 어떤 장치나 응용 프로그램을 사용하게 되면, 운영체제나 응용 프로그램이 로그를 남기는 경우가 있으며 이런 로그는 사건 분석에 중요한 정보가 될 수 있다. 한 예로서, USB 사용 로그에서의 USB 포트에 연결했던 USB들의 사용로그가 레지스트리에 남아 있어 이를 통해 자취 정보를 조사할 수 있다.As shown in Figure 5, the external connection analysis unit 420 is a predetermined analysis listing information to track the trace information of the connection information with the electrically connected external storage of the terminal equipped with the original storage 10. will be nested At this time, the trace information is composed of the connection start time of the external storage, the connection end time of the external storage, ID information of the external storage, information transmitted to and copied from the external storage, information transmitted from the external storage, and the like. The trace information of the external connection can be analyzed through the Windows registry or event log. When a certain device or application program is used, the operating system or application program may leave a log, and this log can be important information for event analysis. As an example, in the USB usage log, the usage log of USBs connected to the USB port remains in the registry, so trace information can be investigated.

도6에 도시된 바와 같이, 웹 브라우저 분석부(430)는 원본 저장소(10)가 장착된 단말기에서 구동되는 웹 브라우저의 사용 히스토리를 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키게 된다. 웹 브라우저 분석부(430)에서는 웹에서의 히스토리, 사용된 브라우저, 행위, 쿠키, 임시 인터넷 파일 등을 분석하여 사용자가 웹으로 접속했던 내용을 알아낼 수 있다. 사용자의 인터넷 사용 흔적을 분석하여 사용자의 최근 관심사, 취미 생활, 생활 습관 등 행동 패턴을 파악하고 전자메일, 메신저 사용 흔적을 통해 사용자의 친구, 인맥, 최근 송수신 자료 또는 대화 내용 등을 획득할 수 있으므로, 범죄 공모 사실, 개인의 비밀 정보 등 유용한 정보를 파악할 수 있다.As shown in Fig. 6, the web browser analysis unit 430 is embedded in the predetermined analysis listing information to track the trace information of the use history of the web browser driven in the terminal equipped with the original storage 10. . The web browser analysis unit 430 analyzes web history, used browsers, behaviors, cookies, temporary Internet files, and the like to find out what the user has accessed to the web. By analyzing the user's Internet usage traces, it is possible to identify behavioral patterns such as the user's recent interests, hobbies, lifestyle, etc. , criminal complicity, and personal confidential information can be identified.

도7에 도시된 바와 같이, 파일 시스템 분석부(440)는 원본 저장소(10)가 장착된 단말기의 OS 체제 하에서 파일 사용의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키게 된다. 파일 시스템 분석부(440)의 자취정보는 파일의 생성 정보, 파일의 삭제 정보, 파일의 복사 정보 및 파일의 수정 정보 등으로 구성되어 있다. As shown in FIG. 7 , the file system analysis unit 440 analyzes the trace information of file use under the OS system of the terminal equipped with the original storage 10 to be included in the predetermined analysis listing information. The trace information of the file system analysis unit 440 includes file creation information, file deletion information, file copy information, and file modification information.

링크 기록 분석부(450)는 원본 저장소(10)가 장착된 OS의 체제하에서 바로 가기 파일로 목적 데이터의 유출의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키게 된다. 이는 대상 파일의 경로 및 메타정보를 이용하여 최근 접근 문서 또는 저장장치를 통한 데이터 외부 유출 등을 확인할 수 있게 된다. 링크 기록 분석부(450)에서는 링크파일의 이름, 링크파일 생성일시, 링크파일 접근일시, 링크파일 수정일시, 원본파일 생성일시, 원본파일 접근일시, 원본파일 수정일시, 원본파일 경로, 시스템 이름, 볼륨 시리얼, 드라이브 형식 등의 정보를 분석할 수 있다.The link record analysis unit 450 is included in the predetermined analysis listing information to analyze the trace information of the outflow of the target data as a shortcut file under the system of the OS equipped with the original storage 10 . This makes it possible to check recently accessed documents or data leakage through storage devices using the path and meta information of the target file. In the link record analysis unit 450, the link file name, link file creation date and time, link file access date and time, link file modification date and time, original file creation date and time, original file access date and time, original file modification date and time, original file path, system name, You can analyze information such as volume serial and drive type.

메타데이터 분석부(460)는 원본 저장소(10)가 장착된 OS 체제 내의 문서 파일, 사진 파일 또는 영상 파일의 메타데이터의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키게 된다. 메타데이터 분석부(460)에서는 HWP, DOC, DOCX, XLS, XLSX, PDF, 음성파일 등의 파일 이름, 접근일시, 생성일시, 수정일시, 경로, MD5, SHA1의 메타데이터를 분석하게 된다. 분석 대상파일은 분석기에서 확장자를 직접 입력하여 지정이 가능하다.The metadata analysis unit 460 is included in the predetermined analysis listing information to analyze the trace information of the metadata of a document file, a photo file, or an image file in the OS system in which the original storage 10 is mounted. The metadata analysis unit 460 analyzes the metadata of HWP, DOC, DOCX, XLS, XLSX, PDF, audio file name, access date and time, creation date and time, modification date and time, path, MD5, and SHA1. The analysis target file can be specified by directly inputting the extension in the analyzer.

도 8에 도시된 바와 같이, 쉘백 기록 분석부(470)는 원본 저장소(10)가 장착된 단말기의 OS 체제 내의 파일 담색 프로그램을 통해, 폴더의 크기, 폴더 보기 모드, 폴더 아이콘의 위치, 폴더 관리 및 유지를 위한 레지스트리 키 집합, 폴더의 접근 기록의 자취 정보를 분석하는 것을 미리 결정된 분석 리스팅 정보에 내포시키게 된다.As shown in FIG. 8 , the shellback record analysis unit 470 manages the size of the folder, the folder view mode, the location of the folder icon, and the folder management through the file pale color program in the OS system of the terminal equipped with the original storage 10 . And a registry key set for maintenance, analyzing the trace information of the access record of the folder is implied in the predetermined analysis listing information.

사용자는 로컬, 네트워크 및 이동식 저장장치에서 접근한 폴더 정보를 쉘백 레지스트리에 기록하게 된다. 쉘백 정보는 Bags과 BagMRU 두가지 주요 레지스트리 키로 구성되며, BagMRU키는 유사한 트리 구조를 생성하여 폴더 이름과 레코드 폴더 경로를 저장하며, Bags키는 창의 크기, 위치 및 보기 모드와 같은 보기 기본 설정을 저장하게 된다. The user records folder information accessed from local, network and removable storage devices in the shellback registry. Shellback information consists of two main registry keys, Bags and BagMRU. The BagMRU key creates a similar tree structure to store folder names and record folder paths, and the Bags key stores view preferences such as window size, location, and view mode. do.

본 발명에 따른 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템은 도2에 도시된 바와 같이, 데이터 포밍 유닛(500)은 미리 결정된 분석 리스팅 정보에 기초하여 분석한 후, 필요한 분석 데이터를 추출하고 형성시킨다. 형성된 분석 결과 데이터는 전문가뿐만 아니라 일반인들도 알기 쉽게 이해할 수 있도록 가독성 있는 형태로 출력될 수 있도록 한다.As shown in Figure 2 in the automatic analysis data formation system through automatic extraction of original data according to the present invention, the data forming unit 500 analyzes based on predetermined analysis listing information, and then extracts necessary analysis data and to form The formed analysis result data can be output in a readable format that can be easily understood by not only experts but also the general public.

도 9에 도시된 바와 같이, 타임라인 정렬 유닛(600)은 자취 정보들을 시각의 순서대로 정렬하여 분석 데이터를 형성시키며, 분석 데이터를 엑셀 파일의 확장자, CSV 파일의 확장자 또는 TXT 파일의 확장자를 구비하도록 한다. 파일 시스템들은 각각의 파일이 만들어진 시간 정보와 마지막으로 접근된 시간정보 그리고 마지막으로 수정된 시간 정보들을 갖고 있다. 이를 타임라인 정렬 유닛(600)에서 시간 정보를 토대로 시간의 흐름에 따라 어떤 파일이 생성되고 접근되었는지를 알기 쉽게 보여주어 좀 더 효과적인 데이터 분석을 할 수 있다.As shown in FIG. 9 , the timeline sorting unit 600 aligns the trace information in the order of time to form analysis data, and the analysis data is provided with the extension of an Excel file, an extension of a CSV file, or an extension of a TXT file let it do File systems have information on when each file was created, last accessed, and last modified. Based on the time information in the timeline sorting unit 600, it is easy to understand which files are created and accessed according to the passage of time, so that more effective data analysis can be performed.

시간 정보에 따른 정렬을 통해 사건이 발생한 시점이나 주변 시간대에서 컴퓨터의 사용 흔적을 조사하여 사용자가 작업한 내용을 선별하여 조사할 수 있으며, 사건 발생 시간대에서 작업한 파일들의 리스트를 확인하여 범죄 등의 행위와 관련된 파일 유무를 키워드 검색을 활용하여 분석할 수도 있다. By sorting by time information, you can examine the traces of computer usage at the time of the incident or the surrounding time zone to select and investigate the contents of the user's work. The presence or absence of files related to actions can also be analyzed using keyword search.

또한, 특정 시간대에 있는 파일을 분류하여 시스템 로그 데이터와 응용 프로그램의 로그에서 특정 타임프레임 내에서 수사와 관계된 이벤트의 유무를 확인하고 사건이 발생한 특정 시점 전후 시간대를 기준으로 파일의 접근 및 변경시간을 조사 분석할 수도 있다.In addition, by classifying files in a specific time period, the system log data and application log check the presence or absence of investigation-related events within a specific time frame, and the access and change times of files based on the time period before and after a specific point in time when the incident occurred. It can also be researched and analyzed.

본 발명의 권리 범위는 특허청구범위에 기재된 사항에 의해 결정되며, 특허 청구범위에 사용된 괄호는 선택적 한정을 위해 기재된 것이 아니라, 명확한 구성요소를 위해 사용되었으며, 괄호 내의 기재도 필수적 구성요소로 해석되어야 한다.The scope of the present invention is determined by the matters described in the claims, and parentheses used in the claims are not described for selective limitation, but are used for clear components, and descriptions in parentheses are also interpreted as essential components. should be

10: 원본 저장소 20: 타깃 저장소
30: 중앙 제어부 40: 브라우징 디스플레이
100: 접속 감지 유닛 200: 로딩 유닛
300: 이미징 유닛 310: 데이터 해싱부
400: 애널라이징 유닛 410: OS 자취 분석부
420: 익스터널 접속 분석부 430: 웹 브라우저 분석부
440: 파일 시스템 분석부 450: 링크 기록 분석부
460: 메타데이터 분석부 470: 쉘백 기록 분석부
500: 데이터 포밍 유닛 600: 타임라인 정렬 유닛10: source repository 20: target repository
30: central control unit 40: browsing display
100: connection detection unit 200: loading unit
300: imaging unit 310: data hashing unit
400: analyzing unit 410: OS trace analysis unit
420: external access analysis unit 430: web browser analysis unit
440: file system analysis unit 450: link record analysis unit
460: metadata analysis unit 470: shellback record analysis unit
500: data forming unit 600: timeline alignment unit

Claims (14)

원본 저장소에 전기적으로 접속되면, 상기 원본 저장소와의 전기적 신호의 송수신을 통해 상기 원본 저장소와의 전기적 접속 상태를 감지하는 접속 감지 유닛;
상기 접속 감지 유닛이 상기 접속 상태로 감지하면, 상기 원본 저장소로부터 복제하고자 하는 목적 데이터를 읽어 들이는 로딩 유닛;
상기 로딩 유닛이 상기 목적 데이터를 읽어들이면 상기 목적 데이터를 이미지 파일의 형태로 복제하는 이미징 유닛;
미리 결정된 분석 리스팅 정보에 기초하여, 상기 이미징 유닛이 이미지화한 상기 이미지 파일을 분석하는 애널라이징 유닛; 및
상기 미리 결정된 분석 리스팅 정보에 기초하여 분석한 후, 분석 데이터를 추출하고 형성시키는 데이터 포밍 유닛을 유닛을 포함하되,
상기 접속 감지 유닛은,
상기 원본 저장소와의 2개 이상 전기적으로 접속된 도선을 통해 상기 전기적 신호를 교차적으로 송수신하여, 상기 전기적 접속 상태를 불연속적으로 감지하여, 상기 전기적 접속 상태를 지속적으로 확인하며,
상기 이미징 유닛은,
상기 원본 저장소의 목적 데이터를 해시함수로 매개로 하여, 해시 테이블에 매핑하고, 상기 목적 데이터의 어느 일 데이터의 호출이 있게 되면 상기 어느 일 데이터에 할당된 해시함수를 매개로 하여 호출된 상기 어느 일 데이터를 읽어 들이도록 하는 데이터 해싱부를 포함하며,
상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기의 OS의 체제하에서 바로 가기 파일로 상기 목적 데이터의 유출의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 링크 기록 분석부를 포함하며,
상기 링크 기록 분석부는,
링크파일의 이름, 상기 링크파일의 생성일시, 상기 링크파일의 접근일시, 상기 링크파일의 수정일시, 원본파일의 생성일시, 상기 원본파일의 접근일시, 상기 원본 파일의 수정일시, 상기 원본 파일의 경로, 시스템 이름, 볼륨 시리얼 또는 드라이브 형식 중 적어도 하나 이상의 정보를 분석하여 최근 접근 문서 또는 데이터 외부 유출 등을 확인하며,
상기 미리 결정된 분석 리스팅 정보는,
i) 위조와 변조 데이터 분류, ii) 응용 프로그램 파일 별 분류, 또는 iii) 소유자에 따른 분류 중 적어도 하나 이상의 분류 방법을 선택하여, 상기 이미지 파일을 미리 선별하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
a connection detection unit that, when electrically connected to the original storage, detects an electrical connection state with the original storage through transmission and reception of electrical signals to and from the original storage;
a loading unit that reads target data to be copied from the original storage when the connection detection unit detects the connection state;
an imaging unit that copies the target data in the form of an image file when the loading unit reads the target data;
an analyzing unit that analyzes the image file imaged by the imaging unit based on predetermined analysis listing information; and
After analyzing based on the predetermined analysis listing information, comprising a data forming unit for extracting and forming analysis data,
The connection detection unit,
By alternately transmitting and receiving the electrical signal through two or more electrically connected conductors with the original storage, the electrical connection state is detected discontinuously, and the electrical connection state is continuously checked,
The imaging unit,
The target data of the original storage is mapped to a hash table using the hash function as a medium, and when there is a call to any one data of the target data, the any one is called through the hash function assigned to the one data Includes a data hashing unit to read data,
The analyzing unit is
and a link record analysis unit for analyzing the trace information of the outflow of the target data as a shortcut file under the OS of the terminal equipped with the original storage in the predetermined analysis listing information,
The link record analysis unit,
The name of the link file, the creation date and time of the link file, the access date and time of the link file, the modification date and time of the link file, the creation date and time of the original file, the access date and time of the original file, the modification date and time of the original file, the modification date of the original file Analyze at least one or more of the path, system name, volume serial, or drive format to check recently accessed documents or data leaks,
The predetermined analysis listing information is,
Automatic extraction of original data, characterized in that the image file is preselected by selecting at least one classification method among i) classification of forged and forged data, ii) classification by application file, or iii) classification according to owner Analysis data through automatic formation system.
 삭제delete 삭제delete 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소를 구동하는 OS(Operating System)의 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 OS자취 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
Analysis data automatic formation system through automatic extraction of original data, characterized in that it comprises an OS trace analysis unit for embedding in the predetermined analysis listing information to track trace information of the OS (Operating System) that drives the original storage .
 제4항에 있어서, 상기 OS의 자취 정보는,
상기 OS 이름, 상기 OS ID, 상기 OS ID 소유자, 상기 OS IS 소유자의 소속, 상기 OS 버전, 상기 OS가 설치된 PC(Personal Computer)의 이름, 상기 OS의 시작 시각, 상기 OS의 종료시각, 상기 OS를 통한 네트워크 접속 정보, 상기 OS의 절전 모드 온-오프(on-off) 시각 및 상기 OS 패스워드(Password)로 이루어진 일군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 4, wherein the trace information of the OS,
The OS name, the OS ID, the OS ID owner, the affiliation of the OS IS owner, the OS version, the name of the PC (Personal Computer) in which the OS is installed, the start time of the OS, the end time of the OS, the OS Analysis through automatic extraction of original data, characterized in that it includes at least one or more from a group consisting of network access information through the OS, power saving mode on-off time of the OS, and the OS password Data Auto Formation System.
 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기의 전기적으로 접속된 외부 저장소와의 접속 정보의 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 익스터널 접속 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
Automatic of the original data, characterized in that it comprises an external connection analysis unit for tracing trace information of connection information with an electrically connected external storage of the terminal equipped with the original storage in the predetermined analysis listing information. Analysis data automatic formation system through extraction.
 제6항에 있어서, 상기 자취 정보는,
상기 외부 저장소의 접속 개시 시각, 상기 외부 저장소의 접속 종료 시각, 상기 외부 저장소의 ID 정보, 상기 외부 저장소로 전송되어 복사된 정보 및 상기 외부 저장소로부터 전송된 정보로 이루어진 일 군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 6, The trace information,
At least one or more from the group consisting of the connection start time of the external storage, the connection end time of the external storage, the ID information of the external storage, information transmitted and copied to the external storage, and information transmitted from the external storage Characterized in that, analysis data automatic formation system through automatic extraction of original data.
 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기에서 구동되는 웹 브라우저의 사용 히스토리를 자취 정보를 추적하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 웹 브라우저 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
Analysis through automatic extraction of original data, characterized in that it comprises a web browser analysis unit for embedding in the predetermined analysis listing information to track trace information of the history of use of a web browser driven in the terminal equipped with the original storage Data Auto Formation System.
 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기의 OS 체제 하에서 파일 사용의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 파일 시스템 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
Automatic analysis data through automatic extraction of original data, characterized in that it comprises a file system analysis unit that analyzes the trace information of file use under the OS system of the terminal equipped with the original storage in the predetermined analysis listing information. formation system.
 제9항에 있어서, 상기 자취 정보는,
상기 파일의 생성 정보, 상기 파일의 삭제 정보, 상기 파일의 복사 정보 및 상기 파일의 수정 정보로 이루어진 일군으로부터 적어도 하나 이상을 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
The method of claim 9, wherein the trace information,
Automatic analysis data formation system through automatic extraction of original data, characterized in that it comprises at least one from a group consisting of creation information of the file, deletion information of the file, copy information of the file, and correction information of the file .
 삭제delete 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기의 OS 체제 내의 문서 파일, 사진 파일 또는 영상 파일의 메타데이터의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 메타데이터 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
The original, characterized in that it comprises a metadata analysis unit to include in the predetermined analysis listing information to analyze the trace information of the metadata of a document file, a photo file or an image file in the OS system of the terminal equipped with the original storage, Analysis data automatic formation system through automatic extraction of data.
 제1항에 있어서, 상기 애널라이징 유닛은,
상기 원본 저장소가 장착된 단말기의 OS 체제 내의 파일 탐색 프로그램을 통해, 폴더의 크기, 폴더 보기 모드, 폴더 아이콘의 위치, 폴더 관리 및 유지를 위한 레지스트리 키 집합, 폴더의 접근 기록의 자취 정보를 분석하는 것을 상기 미리 결정된 분석 리스팅 정보에 내포시키는 쉘백 기록 분석부를 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
According to claim 1, wherein the analyzing unit,
Through the file search program in the OS system of the terminal equipped with the source storage, the size of the folder, the folder view mode, the location of the folder icon, the registry key set for managing and maintaining the folder, and trace information of the access record of the folder are analyzed. A system for automatically forming analysis data through automatic extraction of original data, characterized in that it comprises a shellback record analysis unit for encapsulating that in the predetermined analysis listing information.
 제4항, 제5항, 제6항, 제7항, 제8항, 제9항, 제10항, 제12항 또는 제13항 중 어느 한 항에 있어서, 상기 분석 데이터 자동 형성 시스템은,
상기 자취 정보를 시각의 순서대로 정렬하여 상기 분석 데이터를 형성시키며, 상기 분석 데이터를 엑셀 파일의 확장자, CSV 파일의 확장자 또는 TXT 확장자를 구비하도록 하는 타임라인 정렬 유닛을 더 포함하는 것을 특징으로 하는, 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템.
The method of any one of claims 4, 5, 6, 7, 8, 9, 10, 12 or 13, wherein the automatic analysis data formation system comprises:
Forming the analysis data by arranging the trace information in the order of time, characterized in that it further comprises a timeline sorting unit for providing the analysis data with an Excel file extension, a CSV file extension, or a TXT extension, Analysis data automatic formation system through automatic extraction of original data.
KR1020190097674A 2019-08-09 2019-08-09 Automated system for forming analyzed data by extracting original data KR102294926B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190097674A KR102294926B1 (en) 2019-08-09 2019-08-09 Automated system for forming analyzed data by extracting original data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190097674A KR102294926B1 (en) 2019-08-09 2019-08-09 Automated system for forming analyzed data by extracting original data

Publications (2)

Publication Number Publication Date
KR20210017839A KR20210017839A (en) 2021-02-17
KR102294926B1 true KR102294926B1 (en) 2021-08-27

Family

ID=74731894

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190097674A KR102294926B1 (en) 2019-08-09 2019-08-09 Automated system for forming analyzed data by extracting original data

Country Status (1)

Country Link
KR (1) KR102294926B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100740682B1 (en) * 2006-11-30 2007-07-19 (주)필라넷 Secure file server system prevent data save from local pc, and and method thereof and media that can record computer program for method thereof
JP2012174151A (en) 2011-02-24 2012-09-10 Mitsubishi Electric Corp File tracking device, file tracking method and file tracking program
KR101410442B1 (en) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090064699A (en) * 2007-12-17 2009-06-22 한국전자통신연구원 Digital forensic server for investigating digital evidence and method therefor
KR100986479B1 (en) * 2008-07-01 2010-10-08 경북대학교 산학협력단 System and method for digital evidence acquisition
KR101407060B1 (en) * 2010-10-27 2014-06-13 한국전자통신연구원 Method for analysis and validation of online data for digital forensics and system using the same
KR101288034B1 (en) 2012-09-25 2013-07-22 대한민국 Digital evidence analysis system and a method for executing the system
EP3069276B1 (en) * 2014-01-02 2019-03-13 Huawei Technologies Co., Ltd. Method and apparatus of maintaining data for online analytical processing in a database system
KR101919488B1 (en) * 2016-07-04 2018-11-19 (주)아이티아이즈 Method for implementing security system based on file management and data encryption and security system based on file management and data encryption
KR101968539B1 (en) * 2017-02-16 2019-04-12 동명대학교산학협력단 Timeline based live forensic visualization system and method
KR101870670B1 (en) 2017-04-20 2018-06-25 주식회사 한컴지엠디 Apparatus and method for collecting digital data based on digital forensics

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100740682B1 (en) * 2006-11-30 2007-07-19 (주)필라넷 Secure file server system prevent data save from local pc, and and method thereof and media that can record computer program for method thereof
JP2012174151A (en) 2011-02-24 2012-09-10 Mitsubishi Electric Corp File tracking device, file tracking method and file tracking program
KR101410442B1 (en) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors

Also Published As

Publication number Publication date
KR20210017839A (en) 2021-02-17

Similar Documents

Publication Publication Date Title
US10438000B1 (en) Using recognized backup images for recovery after a ransomware attack
Raghavan Digital forensic research: current state of the art
Kent et al. Guide to integrating forensic techniques into incident
US7603344B2 (en) Methods for searching forensic data
US8051487B2 (en) Cascading security architecture
US7941386B2 (en) Forensic systems and methods using search packs that can be edited for enterprise-wide data identification, data sharing, and management
US10079835B1 (en) Systems and methods for data loss prevention of unidentifiable and unsupported object types
CN107506642A (en) The method and system for preventing file from being damaged by malicious operation behavior
CN101809566A (en) File hash identifier calculates efficiently
Damshenas et al. A survey on digital forensics trends
KR101977178B1 (en) Method for file forgery check based on block chain and computer readable recording medium applying the same
KR20090064699A (en) Digital forensic server for investigating digital evidence and method therefor
Akbal et al. Forensics image acquisition process of digital evidence
US20200278948A1 (en) Method, apparatus and system for managing electronic fingerprint of electronic file
Lessing et al. Live forensic acquisition as alternative to traditional forensic processes
KR102294926B1 (en) Automated system for forming analyzed data by extracting original data
Kent et al. Sp 800-86. guide to integrating forensic techniques into incident response
Richard III et al. Forensic discovery auditing of digital evidence containers
Shayau et al. Digital forensics investigation reduction model (DIFReM) framework for Windows 10 OS
KR102432530B1 (en) System for reporting of digital evidence by sorting data collection from object disk
Mariappan et al. Digital Forensic and Machine Learning
Chen et al. Application Research of electronic authorized steganographic seal management and control platform based on invisible watermark
US11966502B2 (en) Digital file forensic accounting and management system
KR20230112309A (en) System of forensic for analyzing target data by selectively sorting and mapping
US20220171881A1 (en) Digital file forensic accounting and management system

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant