KR102432530B1 - 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템 - Google Patents

대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템 Download PDF

Info

Publication number
KR102432530B1
KR102432530B1 KR1020200080127A KR20200080127A KR102432530B1 KR 102432530 B1 KR102432530 B1 KR 102432530B1 KR 1020200080127 A KR1020200080127 A KR 1020200080127A KR 20200080127 A KR20200080127 A KR 20200080127A KR 102432530 B1 KR102432530 B1 KR 102432530B1
Authority
KR
South Korea
Prior art keywords
information
unit
target
time
target information
Prior art date
Application number
KR1020200080127A
Other languages
English (en)
Other versions
KR20210104525A (ko
Inventor
최운영
Original Assignee
한국디지털포렌식센터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국디지털포렌식센터 주식회사 filed Critical 한국디지털포렌식센터 주식회사
Publication of KR20210104525A publication Critical patent/KR20210104525A/ko
Application granted granted Critical
Publication of KR102432530B1 publication Critical patent/KR102432530B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • G06F16/148File search processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/14Details of searching files based on file metadata
    • G06F16/156Query results presentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Library & Information Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Educational Administration (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템에 관한 것으로서, 수집대상 디스크에 접속하여 대상 정보를 획득하고 대상 정보를 복제하는 개더링 유닛; 개더링 유닛을 통해 복제된 대상 정보를 분석하여 타겟 정보를 선별하는 소팅 유닛; 소팅 유닛에서 선별된 타겟 정보를 획득하여 미리 설정된 규칙을 통해 선별 레포트를 생성하는 레포팅 유닛; 및 소정의 표준시간 레퍼런스를 기준으로 시차를 임의 설정하도록 하며, 개더링 유닛, 소팅 유닛, 레포팅 유닛의 시간 정보를 매핑하는 타임 레코드 유닛을 포함하는 기술적 사상을 개시한다.

Description

대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템{System for reporting of digital evidence by sorting data collection from object disk}
본 발명은 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템에 관한 것으로서, 보다 자세하게는, 데이터의 증거 수집을 위하여 증거 수집을 위한 데이터를 선별하고 목록을 레포팅하여 선별 레포트를 생성함으로 증거 수집이 선별적으로 이루어지도록 하기 위한 시스템에 관한 기술 분야이다.
전통적으로 포렌식은 법의학 분야에서 지문, 모발, DNA 감식, 변사체 검시 등이 주류를 이루었다. 그러나 최근 다양한 정보기기들의 활용과 정보생산 및 유통에 있어서 95% 이상이 디지털 형태로 이용되고 있기 때문에 물리적 형태의 증거뿐만 아니라 전자적 증거(Electronic evidence)를 다루는 디지털 포렌식(digital forensic) 분야가 점차 확대되고 있다.
디지털 포렌식(digital forensic)은 법정 제출용 디지털 증거를 수집하여 분석하고 수사에 활용하는 과학수사 기법을 의미하며, 마치 부검하듯 디지털 기록매체에 복원 프로그램을 사용하고, 암호 등 보안을 해제하고, 메타데이터까지 활용하거나 하드디스크 내부에 삭제로그를 저장하는 스왑 파일에서 삭제로그를 복원해 디지털 기기의 사용자나 이를 통해 오간 정보를 추적, 조사한다. 원본의 손상을 봉쇄하기 위해 이미지를 뜨는 형태로 이루어질 수 있다.
디지털 포렌식은 증거의 수집, 보존, 분석, 문서화, 그리고 재판과정에 증거로 제출하기까지의 모든 과정을 포함한다. 디지털 포렌식이라고 하면, 컴퓨터의 하드디스크에서 개인이 작성한 데이터를 증거로 확보하는 분야가 주류를 이루었지만, 디지털 기술을 발달로 증거는 네트워크, 인터넷, 데이터베이스, 모바일 기기, 휘발성 메모리 등 다양한 곳에서 존재하기 때문에 전문성이 더욱 심화되고 대형 시스템의 하드웨어 종류나 운영체제 종류에 따라 다양한 방법론에 대한 연구가 필요한 실정이다.
우리나라의 디지털 포렌식은 90년대 경찰의 해킹수사대가 수사에 활용하며 시초가 되었으며, 현재 경찰청 디지털 포렌식 센터가 전국적으로 최대 규모를 가지고 있다, 그 외에도 검찰, 국정원, 국 등이 각 발전을 위해 노력 중이다.
디지털 포렌식과 관련하여 기술적인 개선과 개발의 시도가 이루어지고 있다.
관련된 선행 특허문헌으로는 "디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법(등록번호 제10-0911377호, 이하 특허문헌1이라 한다.)"이 존재한다.
특허문헌1의 경우, 디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법에 관한 것으로, 특히 데이터 검색에 사용되는 문자 인코딩 타입을 자동으로 결정할 수 있는 디지털 포렌식 데이터 검색 장치 및 방법에 관한 것이다.
특허문헌1의 경우, 디지털 포렌식 데이터 검색 장치는 데이터 소스로부터 이미지 파일을 생성하는 이미징 모듈; 이미지 파일의 파일 시스템을 분석하여 파일 시스템 분석 정보를 생성하는 파일 시스템 분석 모듈; 파일 시스템 분석 정보에 기반하여 검색용 문자 인코딩 타입을 결정하고, 검색용 문자 인코딩 타입을 이용하여 데이터에 대한 검색을 수행하는 검색 모듈; 및 사용자로부터 검색에 관련한 명령을 입력받아 파일 시스템 분석 모듈 및 검색 모듈에 전달하고, 검색 결과를 사용자에게 출력하는 사용자 인터페이스를 포함하는 기술적 사상을 개시한다.
특허문헌1의 경우, 디지털 포렌식에서 데이터를 검색함에 있어서 실제 피의자가 사용했던 운영체제, 프로세서 및 활성 문자 인코딩 타입에 대한 정보를 추출하여 검색용 문자 인코딩 타입을 결정함으로써, 데이터 검색의 정확성 및 효율성을 증대시키고 문자 인코딩 타입의 결정에 소모되는 시간과 노력을 감소시킬 수 있다.
관련된 또 하나의 선행 특허문헌으로는"디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법(등록번호 제10-0986479호, 이하 특허문헌2이라 한다.)"이 존재한다.
특허문헌2의 경우, 분석하고자 하는 메모리장치를 포함하고, 메모리장치에 저장된 메모리를 이미지화하여 이미지메모리파일을 생성한 후 송신하는 클라이언트와 클라이언트로부터 이미지메모리파일을 수신하고, 이미지메모리파일의 구조 및 내용을 분석하고, 분석된 결과에 기초하여 클라이언트의 디지털증거용 데이터를 생성하는 서버를 포함하는 디지털증거 획득 시스템 및 방법에 관한 것이다.
특허문헌 2의 경우, 클라이언트의 메모리를 이미지화하여 동일한 형태의 이미지메모리파일을 생성함으로써, 컴퓨터 포렌식(Computer Forensics) 분야의 정보유출을 방지하는 효과가 있다. 또한, 클라이언트의 메모리를 동일한 형태로 이미지화함으로써 객관적인 이미지메모리파일을 대상으로 분석이 수행됨으로 컴퓨터 범죄조사 시, 강력한 증거로서 사용이 가능한 효과가 있다. 이에 더하여, 이미지메모리파일에 대해 메모리구조추적, 파일 시그니처분석 및 텍스트검색 등의 분석과정을 수행함으로써 디지털정보의 식별, 분류 및 분석이 용이한 효과를 제공한다.
관련된 또 하나의 선행 특허문헌으로는"디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법(등록번호 제10-1374239 호, 이하 특허문헌3이라 한다.)"이 존재한다.
특허문헌3의 경우, 포렌식 분석을 수행하고자 하는 파일을 수신하는 파일수신단계; 수신한 파일 내 정상영역 또는 비할당영역이 존재하는지 여부를 확인하는 파일영역판단단계; 파일의 정상영역 또는 비할당영역 내 존재하는 복합문서파일을 검색하는 파일검색 단계; 복합문서파일에 대한 검증을 수행하는 검증단계; 및 복합문서파일의 비할당영역 내 데이터에 대 한 복구를 수행하는 데이터복구단계를 포함하는 기술적 사상을 개시한다.
특허문헌 3의 경우, 손상된 복합문서파일 또는 복합문서파일 내 데이터가 할당되지 않은 비할당영역에 저장되었던 데이터를 용이하게 복구할 수 있는 효과를 제공한다.
기존의 기술들의 경우는 이미징 하려고 하는 해당 정보가 증거 정보와 비증거 정보가 함께 존재하는 경우에도 모든 파일을 이미징하는 단계를 거쳐 분석하였다.
이로 인해 이미징된 모든 자료를 분석해야 하는 단계에서 시간이 지체되는 문제점이 있었다.
등록번호 제10-0911377호 등록번호 제10-0986479호 등록번호 제10-1374239 호
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 상기한 바와 같은 종래 문제점을 해결하기 위해 안출된 것으로서, 다음과 같은 해결하고자 하는 과제를 제시한다.
첫째, 수집한 정보를 분석하고 선별하여 정보가 정제되어 획득될 수 있도록 하고자 한다.
둘째, 분석하고 선별한 증거에 대한 레포트를 작성하여 체계적인 증거분석이 이루어질 수 있도록 한다.
셋째, 증거분석을 위해 기록되는 시간에 대한 정보를 활용하여 증거분석 및 선별이 보다 효율적으로 이루어질 수 있도록 한다.
본 발명의 해결 과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 상기의 해결하고자 하는 과제를 위하여 다음과 같은 과제 해결 수단을 가진다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 수집대상 디스크에 접속하여 대상 정보를 획득하고 상기 대상 정보를 복제하는 개더링 유닛(gathering unit); 상기 개더링 유닛을 통해 복제된 상기 대상 정보를 분석하여 타겟 정보를 선별하는 소팅 유닛(sorting unit); 상기 소팅 유닛에서 선별된 상기 타겟 정보를 획득하여 미리 설정된 규칙을 통해 선별 레포트를 생성하는 레포팅 유닛(reporting unit); 및 소정의 표준시간 레퍼런스를 기준으로 시차를 임의 설정하도록 하며, 상기 개더링 유닛, 상기 소팅 유닛, 상기 레포팅 유닛의 시간 정보를 매핑하는 타임 레코드 유닛(time record unit)을 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 개더링 유닛은, 상기 수집대상 디스크와 물리적인 접속을 통하여 상기 대상 정보를 획득하며, 상기 대상 정보는 봉인된 형태로 이미징(imaging)되어 사용자에 의하여 임의 변경이 불가능하도록 하여 무결성을 유지하도록 하는 타겟 이미징(target imaging)부를 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 소팅 유닛은, 복제된 상기 대상 정보를 통해 분석을 실시하며, 복제된 상기 대상 정보 중 증거분석을 위한 증거분석정보에 기초하여 상기 타겟 정보를 획득하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 증거분석정보는, 운영체제 정보, 이벤트 기록 정보, 프로그램 설치 정보, 저장장치 사용기록 정보, 저장장치 리스트 정보, 웹 사용기록 정보, 링크파일 기록 정보, 쉘백기록 정보, 활동 캐시 정보에 대한 항목 중 적어도 하나 이상을 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은, 복제된 상기 대상 정보와 상기 선별 레포트를 저장하도록 하는 데이터 저장부; 및 상기 개더링 유닛이 상기 대상 정보를 복제하는 추이, 상기 소팅 유닛이 타겟 정보 선별을 진행하는 추이, 상기 레포팅 유닛이 상기 선별 레포트를 생성하는 추이가 디스플레이 상에 제시되도록 하는 모니터링부를 더 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 레포팅 유닛은, 작성된 상기 선별 레포트의 현황이 상기 모니터링부에 디스플레이되며, 작성된 상기 선별 레포트를 통해 상기 대상 정보의 유효성이 판별되도록 하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 소팅 유닛은, 복제된 상기 대상 정보를 미리 설정된 소정의 시간 단위 집단으로 분할하는 타임 섹션부; 및 상기 시간 단위 집단이 동일한 인터미디에이트 코드(intermediate code)를 공유하도록 소정의 시간 단위마다 상기 인터미디에이트 코드를 발생시켜 상기 시간 단위 집단에 상기 인터미디에이트 코드를 부여하는 IC쉐어링(intermediate code sharing)부를 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 소팅 유닛은, 상기 IC쉐어링부로부터 부여받은 상기 인터미디에이트 코드를 매개로 상기 증거분석정보의 상호간 시간정보를 공유하되, 상기 시간정보는, 상기 타임 레코드 유닛에서 매핑 된 시간을 기준으로 상기 증거분석정보의 시간정보를 추출하여 공유하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 레포팅 유닛은, 상기 시간 단위 집단 내에서 상기 증거분석정보의 이벤트 횟수가 소정의 임계치를 벗어나는 경우, 미리 설정된 소정의 정보가 상기 모니터링부에 송출되어 디스플레이 되도록 하는 레퍼런스 비교부를 포함하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 상기 소팅 유닛은, 상기 선별 레포트에 기초하여, 상기 타겟 정보를 타겟 디스크에 제공하여 상기 타겟 디스크의 물리 공간에 저장하는 것을 특징으로 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 상기 타겟 디스크를 소정의 방식에 따라 포맷이 진행되도록 하는 타겟 디스크 셋팅부를 더 포함하는 것을 특징으로 할 수 있다.
이상과 같은 구성의 본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 다음과 같은 효과를 제공한다.
첫째, 획득한 정보로부터 타겟 정보를 선별하고 분석하여, 이에 대한 타겟 정보 선별을 통해 정보의 유효성 판단이 빠르게 진행될 수 있도록 한다.
둘째, 타겟 정보에 대하여 레포트를 작성하여 많은 양의 정보가 정제되어 획득되며, 분류된 타겟 정보를 통하여 증거에 대한 획득이 효율적으로 이루어질 수 있도록 한다.
셋째, 시간정보를 기준으로 이벤트 횟수를 구별하여 이벤트 횟수에 따라 선별적으로 타겟 정보에 대한 감시가 이루어질 수 있도록 한다.
본 발명의 효과는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
도1은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템이 수집대상 디스크 및 타겟 디스크와 연결된 것을 도시한 것이다.
도2는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 개더링 유닛이 수집대상 디스크의 이미징을 위한 설정 화면이다.
도3은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛의 화면이다.
도4는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 모니터링부에 시스템의 추이가 제시되는 화면이다.
도5는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 타겟 이미징부를 통해 이미징이 완료되어 타겟 디스크에 저장된 화면이다.
도6은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레포팅 유닛을 통해 레포팅이 완료되어 타겟 디스크에 저장된 화면이다.
도7은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 블록도이다.
도8은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛의 타임 섹션부가 시간 단위 집단을 분할한 후 IC쉐어링부가 시간 단위 집단에 인터미디에이트 코드를 부여한 것을 도시한 것이다.
도9는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레퍼런스 비교부가 증거분석정보의 이벤트 횟수를 비교하는 것을 도시한 것이다.
도10은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 타겟 디스크 셋팅부의 화면이다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
도1은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템이 수집대상 디스크 및 타겟 디스크와 연결된 것을 도시한 것이다. 도2는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 개더링 유닛이 수집대상 디스크의 이미징을 위한 설정 화면이다. 도3은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛의 화면이다. 도4는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 모니터링부에 시스템의 추이가 제시되는 화면이다. 도5는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 타겟 이미징부를 통해 이미징이 완료되어 타겟 디스크에 저장된 화면이다. 도6은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레포팅 유닛을 통해 레포팅이 완료되어 타겟 디스크에 저장된 화면이다. 도7은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 블록도이다. 도8은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛의 타임 섹션부가 시간 단위 집단을 분할한 후 IC쉐어링부가 시간 단위 집단에 인터미디에이트 코드를 부여한 것을 도시한 것이다. 도9는 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레퍼런스 비교부가 증거분석정보의 이벤트 횟수를 비교하는 것을 도시한 것이다. 도10은 본 발명의 일 실시예에 따른, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 타겟 디스크 셋팅부의 화면이다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 도1에 도시된 바와 같이, 기본적으로 본 시스템과 물리적인 저장장치를 연결하여 물리적인 저장장치내에서 각종 증거를 수집하고 분석하는 시스템에 관한 것이다.
여기서 물리적인 저장장치는 증거 데이터를 포함하는 CD, 디스켓, USB 메모리 등의 저장장치 뿐만 아니라, 컴퓨터, 노트북, 핸드폰, PDA 및 PMP 등의 시스템에 내장된 물리적인 저장 장치도 포함할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템은 개더링 유닛(gathering unit, 100), 소팅 유닛(sorting unit, 200), 레포팅 유닛(reporting unit, 300), 타임 레코드 유닛(time record unit, 400)을 포함할 수 있다.
먼저 개더링 유닛(100)의 경우, 수집대상 디스크에 접속하여 대상 정보를 획득하고 대상 정보를 복제하는 구성이다.
디지털 포렌식 과정에서 증거의 손상이나 훼손을 방지하기 위하여 복제본을 만들어 복제본을 대상으로 증거의 분석이 이루어지는 것이 바람직하며, 이를 위하여 개더링 유닛(100)은 대상 정보에 해당하는 정보를 획득하고 이후 선별, 분석, 레포팅의 과정은 복제된 대상 정보를 활용하는 것이 바람직하다.
아울러, 대상 정보는 이미지 파일 형태로 복제될 수도 있는데 이에 대하여는 후술하기로 한다.
개더링 유닛(100)의 경우 또한, 수집 대상 디스크 내에 숨겨진 파일, 삭제된 파일, 확장자가 변경된 파일, 암호화된 파일등을 조사하고 분석하는 것이 바람직하다.
또한, 소팅 유닛(200)의 경우, 개더링 유닛(100)을 통해 복제된 대상 정보를 분석하여 타겟 정보를 선별할 수 있다.
소팅 유닛(200)은 앞서 언급한 바와 같이, 증거의 손상 및 훼손 방지를 위하여 복제된 대상 정보에 해당하는 정보를 분석하는 것이 바람직하며, 대상 정보 중 선별적으로 증거에 해당할 수 있는 정보를 선별하는 것이 바람직하다.
레포팅 유닛(300)은, 소팅 유닛(200)에서 선별된 타겟 정보를 획득하여 미리 설정된 규칙을 통해 선별 레포트를 생성할 수 있다.
소팅 유닛(200)에서 선별된 타겟 정보에 대하여 레포팅 유닛(300)을 통해 선별 레포트를 생성할 수 있으며, 선별 레포트 작성을 통하여 기존 방식에 따르는 수집대상 디스크(10)에 존재하는 모든 자료를 수집하고 선별하는 과정에 대한 시간을 줄여 보다 빠른 분석이 가능하도록 할 수 있다.
레포팅 유닛(300)은, 복제된 대상 정보를 분석하는데, 복제된 대상 정보에 파일 시스템 분석, 콘텐츠 조사, 로그 분석등을 통하여 선별 레포트를 생성할 수 있다.
타임 레코드 유닛(time record unit, 400)은 소정의 표준시간 레퍼런스를 기준으로 시차를 임의 설정하도록 하며, 개더링 유닛(100), 소팅 유닛(200), 레포팅 유닛(300)의 시간 정보를 매핑할 수 있다.
소정의 표준시간의 경우, 협정 세계표준시(Universal Time Coordinated; UTC)를 레퍼런스로 할 수 있으며, 협정 세계표준시(UTC)를 기준으로 현지 시차에 대한 임의 정보를 설정하여 각 유닛의 시간 정보를 매핑 할 수 있으며, 각 유닛에서 행하여 지는 이벤트 시간을 매핑 할 수도 있다.
각 유닛의 이벤트 시간은, 예컨대, 개더링 유닛(100)이 대상 정보를 복제하는 시간, 소팅 유닛(200)이 타켓 정보를 선별하고 진행하는 시간, 레포팅 유닛(300)이 선별 레포트를 생성하는 시간을 매핑하며 기록하도록 하며, 각 유닛의 시간 정보는, 저장된 정보들에 대하여 현지 시간 또는 임의의 시간으로 매핑하여 시간 정보가 통일되도록 할 수도 있다.
또한, 타임 레코드 유닛(400)의 경우, 현지 시간에 대하여 매핑 되는 것이 바람직하지만, 사용자가 임의 설정하는 시간으로 시차에 대한 정보를 매핑 할 수도 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 개더링 유닛(100)의 경우, 수집대상 디스크(10)와 물리적인 접속을 통하여 대상 정보를 획득하며, 대상 정보는 봉인된 형태로 이미징(imaging)되어 사용자에 의하여 임의 변경이 불가능하도록 하여 무결성을 유지하도록 하는 타겟 이미징(target imaging)부(110)를 포함할 수 있다.
본 시스템과 수집대상 디스크(10)는 물리적인 접속을 통해 연결되며, SATA, USB3.0 포트 등을 통하여 물리적 연결 커넥터를 통한 접속을 할 수도 있다.
타겟 이미징부(110)는 디지털 포렌식 과정에서 증거의 손상을 방지하기 위한 복제 방법 중 하나로 이미지 파일로 복제하는 것이며, 복제된 파일에 또 다른 쓰기가 이루어지지 않도록 하여 무결성을 유지하는 것이 바람직하다.
타겟 이미징부(110)는 도3(a)에 도시된 바와 같이, 수집대상 디스크(10)에서 대상 정보를 이미지 파일로 복제할 수 있으며, 복제된 파일에는 SHA-1, MD5등에 해당하는 해시함수를 포함할 수 있으며, 해시 함수에 대한 알고리즘은 사용자에 의해 선택 가능하도록 할 수도 있다.
도3(a)에 도시된 바와 같이, 개더링 유닛(100)이 복제를 실행하는 중 에러가 발생하는 상황에 대하여 다시 읽기 시도 횟수를 임의 선택할 수 있다.
도3(b)에 도시된 바와 같이, 타겟 이미징부(110)는 이미징 및 복제에 대한 결과를 타겟 디스크(20) 내부에 폴더를 생성하고 결과물을 저장하여 사용자에게 이미징 결과를 나타낼 수 있다.
이미징 및 복제가 완료되어 타겟 디스크(20)에 저장된 경우, 작업일자, 모델명, 시리얼 폴더가 생성되어 폴더 내부에 결과물로 보여 질 수 있다. 또한, 작업 시작 시간, 작업 종료 시간, 옵션 선택 값이 나타나 작업이 이루어진 시간대와 선택한 옵션에 대한 사항이 결과로 표시될 수도 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛(200)은 복제된 대상 정보를 통해 분석을 실시하며, 복제된 대상 정보 중 증거분석을 위한 증거분석정보에 기초하여 타겟 정보를 획득할 수 있다.
소팅 유닛(200)에서 선별되고 획득되는 타겟 정보는 복제된 대상 정보를 통하여 선별되고 획득되는 것이 바람직하며, 개더링 유닛(100)을 통해 생성된 이미지 파일에 대한 분석이 가능하도록 하는 것이 더욱 바람직하다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 경우, 증거분석정보는, 운영체제 정보, 이벤트 기록 정보, 프로그램 설치 정보, 저장장치 사용기록 정보, 저장장치 리스트 정보, 웹 사용기록 정보, 링크파일 기록 정보, 쉘백기록 정보, 활동 캐시 정보에 대한 항목 중 적어도 하나 이상을 포함하도록 하는 것이 바람직하다.
증거분석정보는 레포트를 작성하기 위하여 선택되는 정보에 해당하며, 증거분석정보를 분석하여 보고서를 작성하는데, 운영체제 정보는 OS 이름/ID, 소유자, 소속, 시스템 ROOT, OS버전, PC이름, OS 설치일, 최후 부팅 시간, 네트워크 정보 등이 포함될 수 있다.
또한, 시스템 이벤트 기록 정보는, 이벤트 일시, 이벤트 ID, 이벤트 행위, PC 이름 등이 포함될 수 있으며, 프로그램 설치 정보는, 프로그램 설치 일시, 프로그램 이름, 프로그램 배포자, 설치 경로 등이 포함될 수 있으며, 저장장치 사용기록 정보는 저장장치 사용 일시, 장치명, 시리얼 번호, 볼륨정보, 저장장치 사용행위 등이 포함될 수 있다.
아울러, 저장장치 리스트 정보는, 최초 연결 일시, 최종 연결 일시, 장치명, 시리얼 번호 등이 포함될 수 있으며, 웹 사용기록 정보는, 웹 사용 일시, 브라우저, 검색/접근 등 행위, 검색어, URL, 디코드 URL, 방문횟수 등이 포함될 수 있으며, 링크파일 기록 정보는, 시스템 이름, 링크파일 이름, 생성/접근/수정 일시, 원본파일 생성/접근/수정 일시, 원본파일 경로 등이 포함될 수 있다.
쉘백 기록 정보는, 계정명, 접근일시, 폴더 수정/접근/생성일시. 경로 등이 포함될 수 있으며, 활동캐시는, 프로그램, 불러온 파일, 시작시간, 마지막 활성 시간, 활성시간(초)등이 포함될 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 경우, 도7에 도시된 바와 같이, 데이터 저장부(500), 모니터링부(600)를 더 포함할 수 있다.
먼저, 데이터 저장부(500)의 경우, 복제된 대상 정보와 선별 레포트를 저장하도록 할 수 있다.
데이터 저장부(500)는 본 시스템 내부에 형성된 저장부 일 수 있으며, 본 시스템과 물리적으로 연결되는 타겟 디스크(20)에 형성된 저장부가 될 수 있다.
모니터링부(600)의 경우, 도4에 도시된 바와 같이, 개더링 유닛(100)이 대상 정보를 복제하는 추이, 소팅 유닛(200)이 타겟 정보 선별을 진행하는 추이, 레포팅 유닛(300)이 선별 레포트를 생성하는 추이가 디스플레이 상에 제시되도록 할 수 있다.
모니터링부(600)는, 작업 진행상황을 표시할 수 있으며, 도4(a)에 도시된 바와 같이, 개더링 유닛(100)이 대상 정보를 복제하는 작업 상황을 표시 하거나, 도4(b)에 도시된 바와 같이, 소팅 유닛(200)이 타겟 정보를 선별하고 분석하는 추이에 해당하는 분석파일을 개수 등을 표시할 수 있으며, 레포팅 유닛(300)이 선별 레포트를 생성하여 파일을 저장한 저장 경로 및 저장 상태 등을 표시 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레포팅 유닛(300)은, 작성된 선별 레포트의 현황이 모니터링부(600)에 디스플레이되며, 작성된 선별 레포트를 통해 대상 정보의 유효성이 판별되도록 할 수 있다.
모니터링부(600)를 통해 레포팅 유닛(300)의 선별 레포트 생성이 완료되면, 사용자에 의해 분석 결과를 확인할 수 있으며, 분석 결과의 경우 여러 파일의 형태로 제공되어 질 수 있으며, 도6에 도시된 바와 같이 엑셀 파일로 저장되어 질 수도 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛(200)은, 도8에 도시된 바와 같이, 타임 섹션부(210), IC 쉐어링부(220)을 포함할 수 있다.
타임 섹션부(210)의 경우, 복제된 대상 정보를 미리 설정된 소정의 시간 단위 집단으로 분할할 수 있다.
타임 섹션부(210)는 대상 정보에 대하여 타임 레코드 유닛(400)에서 설정한 시간 정보를 기준으로 시간 단위 집단으로 구분할 수 있으며, 시간 단위 집단은 수집대상 디스크(10)에 포함된 대상 정보의 시간을 기준으로 현지 시간 또는 임의 설정되어 매핑 된 시간으로 집단을 형성할 수 있다.
또한, IC 쉐어링부(220)는, 시간 단위 집단이 동일한 인터미디에이트 코드 (intermediate code)를 공유하도록 소정의 시간 단위마다 인터미디에이트 코드를 발생시켜 상기 시간 단위 집단에 인터미디에이트 코드를 부여할 수 있다.
인터미디에이트 코드는 각 시간 단위 집단에 부여되며 대상 정보들의 중개에 대한 매개코드로 정의할 수 있다.
즉, 인터미디에이트 코드의 경우, 정보들의 매개수단에 해당될 수 있으며, 각 정보들을 재조합 또는 재집단화 할 수 있는 코드에 해당될 수 있다.
IC 쉐어링부(220)가 부여한 인터미디에이트 코드는 설정된 시간 단위 집단에 부여되는 코드이며, 시간은 임의로 결정하여 초단위, 분단위로 부여될 수 있으며, 정보들의 재조합과 재집단화를 위하여 충분한 시간 간격을 두어 설정되는 것이 바람직하다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛(200)은, IC쉐어링부(220)로부터 부여받은 인터미디에이트 코드를 매개로 증거분석정보의 상호간 시간정보를 공유할 수 있다.
시간 단위로 인터미디에이트 코드를 부여받은 대상 증거들에 대한 증거분석정보의 인터미디에이트 코드는 각각이 상이하게 분포될 수 있는데, 대상 증거들에 대한 증거분석정보를 기준으로 인터미디에이트 코드를 통해 재집단화하여 증거분석정보를 기준으로 하는 시간 집단을 형성할 수도 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 레포팅 유닛(300)은, 도9에 도시된 바와 같이, 시간 단위 집단 내에서 증거분석정보의 이벤트 횟수가 소정의 임계치를 벗어나는 경우, 미리 설정된 소정의 정보가 모니터링부(600)에 송출되어 디스플레이 되도록 하는 레퍼런스 비교부(310)를 포함할 수 있다.
레퍼런스 비교부(310)는, 증거분석정보 중 적어도 하나에 대한 이벤트 횟수가 설정한 임계치를 벗어나는 경우, 모니터링부(600)에 임계치를 벗어난 대상 정보에 대하여 디스플레이 되도록 하며, 임계치를 벗어난 대상 정보는 사용자에 의하여 확인될 수 있도록 하는 것이 바람직하다.
소정의 임계치에 대한 설정의 경우, 임의 설정할 수 있으며, 대상 정보에 대한 평균값을 기준으로 할 수도 있다.
예컨대, 대상 증거 중 특정 시간에 이메일을 발송한 건수가 평균 이메일을 발송한 건수와 확연하게 차이가 발생하는 경우 특정 시간에 대한 증거분석정보 중 웹 사용기록 정보에 대한 정보 및 그 외 증거분석정보에 대하여 레포트를 작성하도록 하며, 레포트 작성에 대한 추이와 결과에 대하여 디스플레이 될 수 있으며, 작성된 레포트는 타겟 디스크(20)에 저장되어 질 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 소팅 유닛(200)은, 선별 레포트에 기초하여, 타겟 정보를 타겟 디스크(20)에 제공하여 타겟 디스크(20)의 물리 공간에 저장할 수 있다.
타겟 디스크(20)의 물리 공간에 저장되는 타겟 정보는 선별 레포트에 기초한 타겟 정보일 수 있으며, 특정 시간 정보에 대한 증거분석정보에 대한 레포트가 저장될 수도 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 경우, 타겟 디스크를 소정의 방식에 따라 포맷이 진행되도록 하는 타겟 디스크 셋팅부(700)를 더 포함할 수 있다.
도10에 도시된 바와 같이, 포맷 방식에 따라 디스크의 타겟 디스크(20)의 포맷이 가능하도록 할 수 있으며, 완전 삭제 선택을 통해 완전한 삭제가 이루어지도록 할 수 있다.
본 발명에 따른 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템의 경우, 디스크 탐색을 통하여 복제된 대상 정보를 브라우징 할 수 있으며, 복제된 대상 정보에 대한 파티션을 선택하여 브라우징이 가능하도록 할 수 있다.
본 발명의 권리 범위는 특허청구범위에 기재된 사항에 의해 결정되며, 특허 청구범위에 사용된 괄호는 선택적 한정을 위해 기재된 것이 아니라, 명확한 구성요소를 위해 사용되었으며, 괄호 내의 기재도 필수적 구성요소로 해석되어야 한다.
10: 수집대상 디스크 20: 타겟 디스크
100: 개더링 유닛 110: 타겟 이미징부
200: 소팅 유닛 210: 타임 섹션부
220: IC쉐어링부 300: 레포팅 유닛
310: 레퍼런스 비교부 400: 타임 레코드 유닛
500: 데이터 저장부 600: 모니터링부
700: 타겟 디스크 셋팅부

Claims (10)

  1. 수집대상 디스크에 접속하여 대상 정보를 획득하고 상기 대상 정보를 복제하는 개더링 유닛(gathering unit);
    상기 개더링 유닛을 통해 복제된 상기 대상 정보를 분석하여 타겟 정보를 선별하는 소팅 유닛(sorting unit);
    상기 소팅 유닛에서 선별된 상기 타겟 정보를 획득하여 미리 설정된 규칙을 통해 선별 레포트를 생성하는 레포팅 유닛(reporting unit); 및
    소정의 표준시간 레퍼런스를 기준으로 시차를 임의 설정하도록 하며, 상기 개더링 유닛, 상기 소팅 유닛, 상기 레포팅 유닛의 시간 정보를 매핑하는 타임 레코드 유닛(time record unit)을 포함하되,
    상기 소팅 유닛은,
    복제된 상기 대상 정보를 통해 분석을 실시하며, 복제된 상기 대상 정보 중 증거분석을 위한 증거분석정보에 기초하여 상기 타겟 정보를 획득하며,
    상기 증거분석정보는,
    운영체제 정보, 이벤트 기록 정보, 프로그램 설치 정보, 저장장치 사용기록 정보, 저장장치 리스트 정보, 웹 사용기록 정보, 링크파일 기록 정보, 쉘백기록 정보, 활동 캐시 정보에 대한 항목 중 적어도 하나 이상을 포함하고,
    상기 소팅 유닛은,
    복제된 상기 대상 정보를 미리 설정된 소정의 시간 단위 집단으로 분할하는 타임 섹션부; 및
    상기 시간 단위 집단이 동일한 인터미디에이트 코드(intermediate code)를 공유하도록 소정의 시간 단위마다 상기 인터미디에이트 코드를 발생시켜 상기 시간 단위 집단에 상기 인터미디에이트 코드를 부여하는 IC쉐어링(intermediate code sharing)부를 포함하는 것을 특징으로 하는, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템.
  2. 제1항에 있어서, 상기 개더링 유닛은,
    상기 수집대상 디스크와 물리적인 접속을 통하여 상기 대상 정보를 획득하며, 상기 대상 정보는 봉인된 형태로 이미징(imaging)되어 사용자에 의하여 임의 변경이 불가능하도록 하여 무결성을 유지하도록 하는 타겟 이미징(target imaging)부를 포함하는 것을 특징으로 하는, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 수집대상 디스크에 접속하여 대상 정보를 획득하고 상기 대상 정보를 복제하는 개더링 유닛(gathering unit);
    상기 개더링 유닛을 통해 복제된 상기 대상 정보를 분석하여 타겟 정보를 선별하는 소팅 유닛(sorting unit);
    상기 소팅 유닛에서 선별된 상기 타겟 정보를 획득하여 미리 설정된 규칙을 통해 선별 레포트를 생성하는 레포팅 유닛(reporting unit);
    소정의 표준시간 레퍼런스를 기준으로 시차를 임의 설정하도록 하며, 상기 개더링 유닛, 상기 소팅 유닛, 상기 레포팅 유닛의 시간 정보를 매핑하는 타임 레코드 유닛(time record unit);
    복제된 상기 대상 정보와 상기 선별 레포트를 저장하도록 하는 데이터 저장부; 및
    상기 개더링 유닛이 상기 대상 정보를 복제하는 추이, 상기 소팅 유닛이 타겟 정보 선별을 진행하는 추이, 상기 레포팅 유닛이 상기 선별 레포트를 생성하는 추이가 디스플레이 상에 제시되도록 하는 모니터링부를 포함하되,
    상기 레포팅 유닛은,
    작성된 상기 선별 레포트의 현황이 상기 모니터링부에 디스플레이되며, 작성된 상기 선별 레포트를 통해 상기 대상 정보의 유효성이 판별되도록 하는 것을 특징으로 하는, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템.
  7. 삭제
  8. 제1항에 있어서, 상기 소팅 유닛은,
    상기 IC쉐어링부로부터 부여받은 상기 인터미디에이트 코드를 매개로 상기 증거분석정보의 상호간 시간정보를 공유하되,
    상기 시간정보는,
    상기 타임 레코드 유닛에서 매핑 된 시간을 기준으로 상기 증거분석정보의 시간정보를 추출하여 공유하는 것을 특징으로 하는, 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템.
  9. 삭제
  10. 제1항에 있어서, 상기 소팅 유닛은,
    상기 선별 레포트에 기초하여, 상기 타겟 정보를 타겟 디스크에 제공하여 상기 타겟 디스크의 물리 공간에 저장하는 것을 특징으로 하는, 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템.



KR1020200080127A 2020-02-17 2020-06-30 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템 KR102432530B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020200018713 2020-02-17
KR20200018713 2020-02-17

Publications (2)

Publication Number Publication Date
KR20210104525A KR20210104525A (ko) 2021-08-25
KR102432530B1 true KR102432530B1 (ko) 2022-08-16

Family

ID=77495342

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200080127A KR102432530B1 (ko) 2020-02-17 2020-06-30 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템

Country Status (1)

Country Link
KR (1) KR102432530B1 (ko)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100740682B1 (ko) 2006-11-30 2007-07-19 (주)필라넷 로컬 피씨로의 데이터 저장을 방지하는 보안파일서버시스템및 그 방법과 그 방법에 대한 컴퓨터 프로그램을 저장한기록매체
KR100911377B1 (ko) 2007-10-05 2009-08-10 한국전자통신연구원 디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법
KR100986479B1 (ko) * 2008-07-01 2010-10-08 경북대학교 산학협력단 디지털증거 획득 시스템 및 방법
JP2012174151A (ja) 2011-02-24 2012-09-10 Mitsubishi Electric Corp ファイル追跡装置及びファイル追跡方法及びファイル追跡プログラム
KR101374239B1 (ko) 2012-06-22 2014-03-13 대한민국(관리부서 대검찰청) 문서파일의 포렌식 분석 방법 및 시스템
KR101410442B1 (ko) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 사용자 행위분석 기반 디지털 포렌식 감사 시스템
KR101968539B1 (ko) * 2017-02-16 2019-04-12 동명대학교산학협력단 타임 라인 기반의 라이브 포렌식 시각화 시스템 및 방법

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090064699A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 증거 수사를 위한 디지털 포렌식 서버 및 그 방법
KR101407060B1 (ko) * 2010-10-27 2014-06-13 한국전자통신연구원 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템
EP3069276B1 (en) * 2014-01-02 2019-03-13 Huawei Technologies Co., Ltd. Method and apparatus of maintaining data for online analytical processing in a database system
KR20160096363A (ko) * 2015-02-05 2016-08-16 이요민 디지털 증거 자료 획득을 위한 온라인 포렌식 시스템 및 그 방법
KR101919488B1 (ko) * 2016-07-04 2018-11-19 (주)아이티아이즈 파일 관리 및 데이터 암호화를 기반으로 한 보안 시스템을 구현하는 방법 및 파일 관리 및 데이터 암호화를 기반으로 한 보안 시스템

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100740682B1 (ko) 2006-11-30 2007-07-19 (주)필라넷 로컬 피씨로의 데이터 저장을 방지하는 보안파일서버시스템및 그 방법과 그 방법에 대한 컴퓨터 프로그램을 저장한기록매체
KR100911377B1 (ko) 2007-10-05 2009-08-10 한국전자통신연구원 디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법
KR100986479B1 (ko) * 2008-07-01 2010-10-08 경북대학교 산학협력단 디지털증거 획득 시스템 및 방법
JP2012174151A (ja) 2011-02-24 2012-09-10 Mitsubishi Electric Corp ファイル追跡装置及びファイル追跡方法及びファイル追跡プログラム
KR101374239B1 (ko) 2012-06-22 2014-03-13 대한민국(관리부서 대검찰청) 문서파일의 포렌식 분석 방법 및 시스템
KR101410442B1 (ko) 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 사용자 행위분석 기반 디지털 포렌식 감사 시스템
KR101968539B1 (ko) * 2017-02-16 2019-04-12 동명대학교산학협력단 타임 라인 기반의 라이브 포렌식 시각화 시스템 및 방법

Also Published As

Publication number Publication date
KR20210104525A (ko) 2021-08-25

Similar Documents

Publication Publication Date Title
US7100008B2 (en) Long term data protection system and method
WO2018032376A1 (zh) 一种用于区块链自安全存储系统及其方法
US11176165B2 (en) Search and analytics for storage systems
US11803461B2 (en) Validation of log files using blockchain system
Ho et al. Following the breadcrumbs: Timestamp pattern identification for cloud forensics
Choi et al. Forensic recovery of SQL server database: Practical approach
CN112560031A (zh) 一种勒索病毒检测方法及系统
AlHarbi et al. Forensic analysis of anti‐forensic file‐wiping tools on Windows
Dhaka et al. CRIB: Cyber crime investigation, data archival and analysis using big data tool
KR102432530B1 (ko) 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템
Khader et al. HDFS file operation fingerprints for forensic investigations
Guttman et al. Ten years of computer forensic tool testing
CN116089427A (zh) 电子档案多介质融合存储的管理方法及系统
KR102294926B1 (ko) 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
CN114969787A (zh) 计算机终端保密检查系统
CN108132866A (zh) 一种监测操作系统数据完整性的方法及系统
Agrawal et al. SD-HDFS: Secure deletion in hadoop distributed file system
EP3674876A1 (en) System and method of deletion of files and counteracting their restoration
Prem et al. Disk memory forensics: Analysis of memory forensics frameworks flow
Kuts et al. Deleted Data Recovery on Solid-State Drives by Software Based Methods
US12001452B2 (en) Search and analytics for storage systems
Knight Forensic disk imaging report
Reddy et al. Windows forensics
KR20230112310A (ko) 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템
Xia et al. A program behavior matching architecture for probabilistic file system forensics

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant