KR20090125552A - 디지털 포렌식 방법 및 장치 - Google Patents

디지털 포렌식 방법 및 장치 Download PDF

Info

Publication number
KR20090125552A
KR20090125552A KR1020080051716A KR20080051716A KR20090125552A KR 20090125552 A KR20090125552 A KR 20090125552A KR 1020080051716 A KR1020080051716 A KR 1020080051716A KR 20080051716 A KR20080051716 A KR 20080051716A KR 20090125552 A KR20090125552 A KR 20090125552A
Authority
KR
South Korea
Prior art keywords
page
file
digital forensic
page file
feature
Prior art date
Application number
KR1020080051716A
Other languages
English (en)
Other versions
KR100961179B1 (ko
Inventor
최영한
김태균
오형근
이도훈
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080051716A priority Critical patent/KR100961179B1/ko
Priority to US12/252,869 priority patent/US8145586B2/en
Publication of KR20090125552A publication Critical patent/KR20090125552A/ko
Application granted granted Critical
Publication of KR100961179B1 publication Critical patent/KR100961179B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/10Pre-processing; Data cleansing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명은 디지털 포렌식 방법 및 장치에 관한 것이다.
본 발명에 따른 디지털 포렌식 장치는 대상 저장 매체에 저장된 페이지파일을 추출하는 페이지파일 추출부, 상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 저장 페이지 특징 추출부, 상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하고 상기 비교 결과에 따라 상기 페이지를 분류하는 페이지 분류부, 상기 분류된 페이지에 상응하여 디지털 포렌식을 수행하는 디지털 포렌식 수행부를 포함할 수 있다.
본 발명에 의하면 페이지 파일의 정보만을 이용하여 디지털 포렌식을 수행할 수 있다.
디지털 포렌식, 페이지파일(pagefile), 섹션, PE

Description

디지털 포렌식 방법 및 장치{Apparatus and Method for digital forensic}
본 발명은 디지털 포렌식 방법 및 장치에 관한 것이다.
특히 본 발명은 컴퓨팅 환경에서 가상 메모리로 이용되는 데이터의 특징을 이용하여 보다 자세한 정보를 얻을 수 있는 디지털 포렌식 방법 및 장치에 관한 것이다.
디지털 포렌식은 컴퓨터에 의해 발생된 정보들을 범죄 수사에 이용하여 결정적인 증거를 찾는 분야이다. 정보 기술의 발달에 따라 대부분의 정보가 디지털화 되어가고 있어, 범죄 수사 등에서 증거 자료나 데이터 정보를 얻는 대상도 서류 문서와 같은 아날로그 매체에서 컴퓨터 하드 디스크와 같은 디지털 매체로 변경되고 있다.
그러나 디지털 정보의 속성상 정보의 폐기가 매우 용이하여 관련 증거를 확보하는데 어려움이 존재하였다. 이러한 디지털 환경에서 지워지거나 삭제된 하드디스크 등의 디지털 저장 매체를 통하여 정보를 획득하는 방법이 필요하게 되었는데 이런 분야를 디지털 포렌식이라 한다.
한 편, 디지털 포렌식에서 이용되는 윈도우즈 페이지파일(pagefile.sys)은 물리적인 메모리 용량의 확장을 위해 하드디스크의 일부를 메모리처럼 사용하는 공간을 지칭하는데, 페이지파일은 윈도우즈 메모리 운영 메커니즘에 따라 페이지 단위로 데이터를 저장한다. 페이지파일에 저장되는 페이지들은 서로간의 상관관계는 없으나 하나의 페이지는 동일한 기능을 제공하는 데이터로 묶여 있다. 페이지파일 관리에 필요한 정보는 윈도우즈가 동작을 할 때 메모리에 저장이 되며, 시스템이 종료하면 관련 데이터는 소멸한다. 그래서 페이지파일만으로 저장된 페이지들에 대한 관리 정보를 알 수 없다. 따라서 기존의 디지털 포렌식에서 페이지파일 내 정보 추출은 이용할 수 있는 페이지파일 관련 데이터 부족으로 인해 문자열 검색만 가능하였다. 문자열로 검색 가능한 패스워드, URL, 이메일 주소의 정보만 추출을 하였으며, 그 이상의 정보를 추출하는 것은 불가능하였다.
본 발명은 디지털 포렌식 방법 및 장치를 제공하는 것을 목적으로 한다.
또한 본 발명은 윈도우즈 환경에서 페이지파일을 특성에 따라 분석하고 각 특성에 맞는 적절한 방법을 이용하는 디지털 포렌식 방법 및 장치를 제공하는 것을 목적으로 한다.
또한 본 발명은 페이지파일 이외의 운영정보를 가지고 있지 않은 상태에서도 디지털 포렌식을 수행할 수 있는 것을 목적으로 한다.
상술한 목적들을 달성하기 위하여, 본 발명의 일 측면에 따르면, 대상 저장 매체에 저장된 페이지파일을 추출하는 페이지파일 추출부, 상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 저장 페이지 특징 추출부, 상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하고 상기 비교 결과에 따라 상기 페이지를 분류하는 페이지 분류부, 상기 분류된 페이지에 상응하여 디지털 포렌식을 수행하는 디지털 포렌식 수행부를 포함하는 디지털 포렌식 장치를 제공할 수 있다.
바람직한 실시예에 있어서, 상기 페이지파일은 윈도우즈 운영체계를 이용하는 컴퓨팅 환경에서 가상 메모리 데이터를 페이지 단위로 저장하는 것을 특징으로 할 수 있다. 또한, 상기 페이지의 특징은 상기 페이지 내부의 메모리 주소에 따른 이진(binary) 데이터 분포 특성에 상응하는 것을 특징으로 할 수 있다. 또한, 상기 분류 기준은 페이지 특징 데이터베이스에 저장되는 것을 특징으로 할 수 있다. 또한, 상기 페이지파일은 커널 영역 데이터 저장부 및 사용자 영역 데이터 저장부를 포함하며 상기 사용자 영역 데이터 저장부는 적어도 하나의 실행 섹션 및 힙/스택 섹션을 포함하는 것을 특징으로 할 수 있다.
또한, 상기 대상 저장 매체는 전원이 차단되는 경우에도 이미 저장된 페이지파일을 보존할 수 있는 데이터 저장 매체인 것을 특징으로 할 수 있다. 또한, 상기 페이지 분류부는 상기 페이지를 적어도 하나의 실행 섹션별로 분류하는 것을 특징으로 할 수 있다. 또한, 상기 페이지는 4Kbyte 단위인 것을 특징으로 할 수 있다. 또한, 상기 이진 데이터의 분포 특성은 상기 페이지가 포함된 섹션에 따라 상이하게 표현되는 것을 특징으로 할 수 있다.
본 발명의 다른 일 측면을 참조하면, 대상 저장 매체에 저장된 페이지파일을 추출하는 단계, 상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 단계, 상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하여 상기 비교 결과에 따라 상기 페이지를 분류하는 단계 및 상기 분류된 페이지 데이터에 상응하여 디지털 포렌식을 수행하는 단계를 포함하는 디지털 포렌식 방법을 제공할 수 있다.
바람직한 실시예에 있어서, 상기 페이지파일은 윈도우즈 운영체계를 이용하는 컴퓨팅 환경에서 가상 메모리 데이터를 페이지 단위로 저장하는 것을 특징으로 할 수 있다. 또한, 상기 페이지의 특징은 상기 페이지 내부의 메모리 주소에 따른 이진(binary) 데이터 분포 특성에 상응하는 것을 특징으로 할 수 있다. 또한, 상기 분류 기준은 특징 데이터베이스에 저장하는 단계를 더 포함할 수 있다. 또한, 상기 특징 데이터베이스에 분류 기준을 저장하는 단계는 정상 상태의 컴퓨팅 환경에서 페이지파일을 추출하는 단계, 상기 추출된 페이지파일에 상응하는 페이지파일 내부 메모리의 주소를 분석하는 단계, 상기 분석된 메모리의 주소에 상응하여 상기 페이지파일의 섹션을 분석하는 단계, 상기 분석된 섹션에 포함된 페이지의 특징을 분석하는 단계 및 상기 분석된 페이지 특징을 분류 기준으로 결정하여 특징 데이터베이스에 저장하는 단계를 포함할 수 있다.
또한, 상기 페이지파일은 커널 영역 데이터 저장부 및 사용자 영역 데이터 저장부를 포함하며 상기 사용자 영역 데이터 저장부는 적어도 하나의 실행 섹션 및 힙/스택 섹션을 포함하는 것을 특징으로 할 수 있다. 또한, 상기 대상 저장 매체는 전원이 차단되는 경우에도 이미 저장된 페이지파일을 보존할 수 있는 데이터 저장 매체인 것을 특징으로 할 수 있다.
본 발명은 디지털 포렌식 방법 및 장치를 제공할 수 있다.
또한 본 발명은 윈도우즈 환경에서 페이지파일을 특성에 따라 분석하고 각 특성에 맞는 적절한 방법을 이용하는 디지털 포렌식 방법 및 장치를 제공할 수 있다.
또한 본 발명은 페이지파일 이외의 운영정보를 가지고 있지 않은 상태에서도 디지털 포렌식을 수행할 수 있다.
이하 첨부된 도면을 참조하여 본 발명에 따른 디지털 포렌식 방법 및 장치에 대하여 상세히 설명한다.
도 1은 본 발명에 따른 디지털 포렌식 장치의 구성을 대략적으로 나타내는 도면이다.
도 1을 참고하면, 우선 본 발명의 디지털 포렌식 장치는 대상 디스크 데이터 접속부(101), 페이지파일 추출부(103), 저장 페이지 특징 추출부(105), 페이지 특징 데이터베이스(107), 페이지 분류부(109) 및 디지털 포렌식 수행부(113)를 포함한다.
대상 디스크 데이터 접속부(101)는 본 발명에 따른 디지털 포렌식을 수행하기 위하여 대상 디스크로부터 정보를 수신받는 부분이다. 이러한 대상 디스크 데이터 접속부(101)는 디지털 포렌식 대상이 되는 저장 매체의 종류에 따라 그 형상이나 특성이 달라질 수 있다. 예를 들어 일반적으로 가장 많이 사용되는 저장 매체인 개인 컴퓨터의 하드 디스크에 대하여 디지털 포렌식을 수행하는 경우에는 상기 대상 디스크 데이터 접속부(101)는 하드디스크와 접속하여 그 데이터를 받을 수 있는 형태의 소켓 및 드라이버 프로그램 등을 포함할 수 있다.
페이지파일 추출부(103) 페이지파일 추출부는 상기 대상 디스크 데이터 접속 부(101)에서 접속된 디스크로부터 페이지파일을 추출하는 역할을 담당한다. 페이지파일은 윈도우 시스템 환경에서 하드디스크드라이버와 같은 외부 저장 매체 중 일부를 마치 메모리처럼 사용할 수 있도록 설정된 공간이다. 이러한 페이지파일에 저장되는 데이터는 하드디스크드라이버의 특성상 RAM과는 달리 전원이 제거된 다음에도 여전히 남아있게 되는데, 이렇게 남겨진 페이지파일을 분석함으로서 디지털 포렌식 대상이 되는 컴퓨터가 그 당시에 어떠한 작업을 하였는지를 알 수 있다. 특히 윈도우즈 시스템을 사용하는 경우 이러한 페이지파일은 pagefile.sys라는 파일 명으로 표시된다.
저장 페이지 특징 추출부(105)는 추출된 페이지파일에 저장된 페이지로부터 페이지의 특징을 추출하는 역할을 담당한다. 페이지(page)는 윈도우즈 시스템 환경에서 메모리에서 데이터를 읽어 들이는 최소단위로서 4Kbyte의 크기를 가진다. 메모리는 페이지 단위로 데이터를 읽어 들이기 때문에 동일한 페이지 내부에 포함되는 데이터는 모두 동일한 종류의 데이터가 될 것이다.
윈도우즈 시스템 환경에서 실행 파일이 로딩되는 경우PE(Potable Executable) 파일 포맷이 이용되는데, 이러한 PE 파일 포맷의 경우 가상 메모리 즉 페이지파일(pagefile.sys)에 로딩된다. 이렇게 로딩되는 데이터는 PE 파일의 특성에 따라 페이지파일 내부에서 로딩되는 데이터의 기능적인 특성에 따라 구분되어 저장된다. 즉, 각 페이지는 기능적인 특징에 따라 각각 다른 주소를 가지는 각각 다른 섹션에 저장된다. 동일한 섹션에는 서로 직접적인 연관성은 없으나, 서로 다른 프로세스에서 비슷한 역할을 하는 페이지가 저장되는 것이다.
따라서 페이지파일은 도 5에서 자세히 설명하겠지만 힙(heap)이나 스택(stack)과 같은 임시 메모리를 저장하는 저장부와, 커널 영역 및 사용자 영역을 저장하는 저장부로 나뉘고, 사용자 영역은 다시 각 데이터의 특성에 따라 여러 섹션으로 분리된다. 각 섹션은 모두 동일한 종류의 페이지를 저장하고 있는데, 이러한 데이터 저장 종류에 따라 페이지의 바이너리(binary) 분포 특성이 달라진다. 즉, 각 저장 공간에 저장되는 데이터의 분포가 각 섹션에 따라 서로 달라지게 된다.
이러한 분포 특성에 따라 각 섹션을 구분하면, 각 섹션에 따라 적절한 디지털 포렌식을 수행할 수 있어, 기존에 비해서 페이지파일을 이용해서 얻을 수 있는 정보가 획기적으로 늘어나게 된다. 예를 들어 프로그램 코드에 관한 특징을 가지는 섹션에서는 프로세스 운영에 관한 정보에 초점을 두고 디지털 포렌식을 수행하고, 데이터와 관련된 섹션에서는 프로그램 동작시 발생하는 데이터에 초점을 두어 디지털 포렌식을 수행하는 방식이 가능해진다.
상기 저장 페이지 특징 추출부(105)는 페이지파일에 포함된 페이지의 바이너리(binary) 데이터 분포가 각각 어떠한 특징을 가지는지 알기 위하여 각 페이지의 특징을 추출하는 것이다.
페이지 특징 데이터베이스(107)는 일반적인 컴퓨팅 환경에서 미리 각 섹션별로 특징적인 페이지의 바이너리 데이터 분포를 추출한 분류 기준을 저장하는 부분이다. 즉 상기 저장 페이지 특징 추출부에서 추출된 페이지 특징이 어떠한 섹션에 포함되던 것인지를 구분하기 위한 각 섹션의 분류 기준값을 저장하고 있는 구성 요 소이다.
페이지 분류부(109)는 상기 저장 페이지 특징 추출부(105)에서 추출된 특성 데이터와 상기 페이지 특징 데이터베이스(109)에 저장된 분류 기준을 비교하여 각 페이지 특징에 맞도록 페이지를 분류하는 역할을 담당한다.
이렇게 특징별로 페이지를 분류하면 대상 저장 매체에 포함된 페이지파일이 원래 속해있었던 특징적인 섹션을 알 수 있다. 따라서 분류된 페이지별로 각각 다른 방법으로 디지털 포렌식을 수행할 수 있다.
디지털 포렌식 수행부(113)는 상기 페이지 분류부(109)에서 분류된 페이지(111)를 이용하여 페이지 특징별로 디지털 포렌식을 수행하는 역할을 담당한다. 이렇게 디지털 포렌식을 수행하면 기존의 방법에 비하여 대상이 되는 컴퓨터의 사용 환경을 좀 더 자세하게 분석할 수 있다.
도 2는 본 발명에 따른 디지털 포렌식을 수행하는 과정을 나타내는 도면이다.
도 2를 참조하면, 우선 포렌식 대상이 되는 디스크를 분석한다(단계201). 일반적으로 디지털 포렌식 대상이 되는 컴퓨터는 특정 시점에서 그 컴퓨팅 환경이 사용된 상황을 알아야 하는 경우가 많다. 그러나 포렌식 대상이 되는 디스크드라이버는 그 당시의 환경에서 사용되는 프로그램에 대한 정보를 정확하게 가지고 있지 않을 확률이 높으며, RAM 등에 저장된 정보는 전원이 제거됨과 동시에 삭제됨으로 그 당시의 상태를 정확히 알기는 어렵다. 그러나 하드디스크드라이버와 같은 저장 매 체는 전원이 차단되더라도 여전히 그 정보를 기억하고 있으므로 하드디스크에 저장된 정보를 이용하여 그 당시의 컴퓨팅 환경을 분석할 수 있다.
따라서 그 정보를 추출하기 위하여 대상 디스크에서 페이지파일을 추출한다(단계203). 그런 다음 추출된 페이지파일에 포함된 페이지를 추출하고 그 특징을 추출한다. (단계 205). 이는 상기 도 1에서 설명한 바와 같이 페이지파일의 내부에 저장되는 페이지는 각 페이지 단위로 동일한 특성을 가지는 데이터를 저장하고 있으므로, 페이지 단위로 데이터의 특징을 추출하는 것이다.
그런 다음 추출된 포렌식 대상 디스크의 페이지 특징과 기존의 일반적인 컴퓨팅 환경에서 추출된 섹션별 페이지 특징을 이용한 분류 기준과 비교한다(단계209). 기존의 일반적인 컴퓨팅 환경에서 추출된 페이지 특징을 이용한 분류 기준은 페이지 특징 데이터베이스(207)에 미리 저장해 두는데, 이러한 페이지 특징 데이터베이스는 포렌식 대상 디스크의 페이지별 특징을 구분하기 위한 기준이 된다.
페이지의 특징 데이터와 상기 페이지 특징 데이터베이스에 저장된 분류 기준을 서로 비교하여 상기 페이지 특징 데이터베이스(207)에서 미리 결정된 분류 기준에 따라 포렌식 대상 디스크에서 추출된 페이지를 기능별로 분류한다(단계 211). 그런 다음 상기에서 분류된 페이지별로 디지털 포렌식을 실제로 수행한다(단계 213). 이러한 방법에 의한 디지털 포렌식을 실시할 경우 기존의 방식보다 좀더 많은 정보를 추출할 수 있다.
도 3은 본 발명의 바람직한 일 실시예에 따른 페이지 특징 데이터베이스 형 성과정을 개략적으로 나타내는 도면이다.
도 3을 참조하면, 본원 발명에서 페이지 특징 데이터베이스를 형성하는 과정을 나타낸다. 페이지 특징 데이터베이스는 상기에서 설명한 바와 같이 정상 컴퓨팅 환경(301)에서 형성되는 페이지파일을 분석(303)하여 특정 프로세스가 실행될 경우 생성되는 페이지파일의 데이터 특징을 분석하여 저장한다.
즉 정상 컴퓨팅 환경에서는 실제로 실행되는 프로세스를 직접 관찰할 수 있으므로, 특정 섹션에 속하는 페이지의 데이터 분포 특성과 그 섹션이 가지는 특성을 명확하게 알 수 있다. 이러한 방식으로 미리 섹션에 따른 페이지의 데이터 분포 특성을 모두 분류하여 페이지 특징 데이터베이스(305)에 저장한다.
도 4는 대상 페이지 특징을 추출하는 과정을 나타내는 도면이다.
도 4를 참조하면, 우선 저장 매체에서 페이지파일 즉 페이지파일을 추출한다(단계401). 그런 다음 페이지파일에 포함되는 각 섹션의 메모리 주소를 분석한다(단계 403). 도 5에서 자세히 설명하도록 하겠지만, 페이지파일에 저장되는 PE 파일 포맷은 메모리 주소에 따라 저장되는 데이터 특성이 달라지고 각 데이터 특성이 상이한 여러 섹션으로 구분되어 있다. 이러한 각 섹션 내에 서로 연관이 없지만 특징은 동일한 페이지 데이터가 저장된다. 따라서 메모리 주소를 분석하여 각 섹션을 구분하여 섹션마다 데이터 분포 특성을 찾게 되는 것이다.
페이지파일은 크게 힙/스택과 같은 임시 저장 메모리와 사용자 영역의 기능별 섹션 영역으로 나눠질 수 있다. 따라서 메모리 주소를 분석하여 크게 PE 파일 포맷의 섹션 부분과 힙/스택 부분으로 우선 나눈다. 그런 다음 PE 섹션 부분에서는 디스크의 페이지파일에 저장된 페이지와 그 데이터가 포함된 PE 섹션을 확인한다(단계405). 즉. 페이지의 특징과 그 페이지가 포함된 PE 섹션과 연관성을 확인하게 된다.
그런 다음 상기 PE 섹션에 포함되는 페이지 특징의 공통된 형태를 분석하고(단계 407), 그러한 공통된 형태를 그 PE 섹션의 페이지 특징으로 하여 추출하게 된다(단계409).
한 편, 메모리 주소를 분석하여 힙/스택으로 분석된 경우에도 거의 동일한 프로세스를 거치는데 이는 힙/스택의 경우 각 PE 섹션과 데이터 특징이 차이가 나기 때문에 처음부터 분리하여 처리할 뿐이다. 즉, PE 섹션과 동일하게 우선 PE 섹션 부분에서는 디스크에서 저장된 페이지와 그 페이지가 포함된 힙/스택 부분을 확인한다(단계411). 그런 다음 상기 힙/스택에 포함되는 페이지의 특성의 공통된 형태를 분석하고(단계 413), 그러한 공통된 형태를 그 힙/스택의 페이지 특징으로 하여 추출하게 된다(단계415).
도 5는 본 발명에서 적용되는 페이지파일의 구성을 나타내는 도면이다.
도 5를 참조하면, 본 발명에서 적용되는 윈도우즈 환경에서 가상메모리로 이용되는 페이지파일의 구성을 주소에 따라 나타내는 도면이다. 페이지파일은 크게 커널 데이터 저장 영역(501), 사용자 데이터 저장 영역(503) 및 힙/스택 영역(505)으로 구분되는데, 커널 데이터 저장 영역(501)은 운영 체계가 불가결하게 가져야하 커널 데이터를 저장하는 부분으로 실행 프로세스나 데이터와는 크게 관계가 없는 부분이다. 사용자 데이터 저장 영역(503), 및 힙/스택 영역(505)부분에 사용자 데이터가 포함되는데, 여기서 사용자 데이터 저장 영역(503)은 여러 개의 기능적인 섹션으로 구분되어 있다. 이는 윈도우즈 환경에서 페이지파일로 프로세스가 로드될 경우 PE 파일 포맷을 이용하는데, 이러한 PE 파일 포맷이 동일 유형의 데이터를 포함하는 섹션으로 구분되기 때문이다. 또한 이러한 섹션 내부에 포함되는 데이터는 4Kbyte 단위로 저장되는데 이러한 저장단위를 페이지라 한다. 이러한 페이지는 메모리에 데이터가 로딩되는 최소단위이다.
결국, 사용자 데이터 저장 영역(503)의 각 섹션은 여러 개의 페이지로 구성되어 있는데 이러한 섹션 내부의 페이지는 각 페이지는 서로 연관성이 없으나, 섹션에 포함되는 각 페이지들은 모두 동일한 기능적인 특성을 가지는 데이터를 저장하고 있다는 의미이다.
또한 힙/스택 부분(505)은 윈도우즈 환경에서 프로세스가 실행될 경우에 실시간으로 필요한 데이터를 임시로 저장하는 공간이다. 즉 가상 메모리로 할당되는 페이지파일 부분에서 프로세스가 실행되는 동안에 실시간으로 데이터를 변경하거나 필요한 경우에 그러한 임시 데이터를 저장하는 부분이다.
이러한 페이지파일의 사용자 데이터 저장 영역(503) 및 힘/스택(505) 부분은 프로세스를 사용하는 시간 순서에 따라 데이터가 페이지파일의 주소 번지에 순차적으로 기록됨으로 각 데이터의 특성에 따른 섹션의 특징을 알게 되면 그 당시의 컴퓨팅 환경에 대한 많은 정보를 얻을 수 있다.
도 6은 본 발명에서 페이지 특징 추출의 일 실시예를 계략적으로 나타내는 도면이다.
도 6을 참조하면, 페이지 특징을 추출하는 방법 중 하나로 이진(binary) 데이터 분포 특성을 이용하는 방법을 나타내는 도면이다. 참조 번호 601은 페이지파일의 .text 섹션에 포함되는 페이지의 데이터 코드를 나타내는 도면이다. 이렇게 전혀 의미 없어 보이는 페이지 데이터 코드를 주소에 따라 2진수로 풀어낸 다음 각 주소에 나타는 '1'의 개수 즉 데이터의 분포를 그래프로 나타내면 동일 유형의 섹션에 포함되는 페이지의 데이터는 모두 유사한 분포 특성을 보인다. 참조 번호 603에서와 같이 3개의 마루를 가지는 데이터 분포 특성을 가지는 섹션은 .text 섹션의 특징이라 할 수 있다.
이렇게 페이지의 데이터 분포 특성을 이용하여 페이지 특징 데이터를 추출하고 이른 페이지 특징 데이터베이스(605)에 저장한다.
도 7은 본 발명의 데이터 분포 특성의 실시예를 나타내는 도면이다.
도 7을 참조하면 2가지 대표적인 기능별 섹션의 데이터 분포 특성을 나타내는 그래프이다.
상기 701 그래프의 데이터 분포 특성은 .text 섹션의 페이지 데이터의 분포특성을 나타낸다. 상기의 그래프에서 가로축은 페이지의 주소를 나타내며, 세로축은 각 주소에 포함되는 '1' 즉 데이터의 분포 정도를 나타낸다.
상기 701 도면을 참조하면, text 섹션은 3개의 마루를 특징적으로 가진다. 즉 70 HEX 주소의 근방에서 150 이상의 가장 큰 데이터 분포를 가지며, 그 다음으로 140 HEX 주소 근방에서 100 이상의 데이터 분포를 가지고, 마지막으로 200 HEX 근방에서 50 이상의 데이터 분포를 가진다.
이에 비하여 참조 번호 703 그래프는 .pdata 섹션의 데이터 분포를 나타내는 도면이다. 상기 701의 그래프와 비교하면 확연하게 데이터 분포 특성이 다름을 알 수 있다. 즉, 40 HEX 이하의 주소에서 대부분의 데이터 분포를 모두 가지고 나머지 주소값에서는 데이터 분포의 빈도가 거의 균등하고 적게 나타난다.
상기와 같은 방식으로 페이지를 분석하면 각 섹션에 따른 데이터 분포 특성을 확인 할 수 있고 이러한 데이터 분포 특성을 이용하여 각 페이지가 어떠한 섹션에 포함되는지를 확인 할 수 있다.
본 발명은 상기 실시예에 한정되지 않으며, 많은 변형이 본 발명의 사상 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 가능함은 물론이다.
도 1은 본 발명에 따른 디지털 포렌식 장치의 구성을 대략적으로 나타내는 도면.
도 2는 본 발명에 따른 디지털 포렌식을 수행하는 과정을 나타내는 도면.
도 3은 본 발명의 바람직한 일 실시예에 따른 페이지 특징 데이터베이스 형성과정을 개략적으로 나타내는 도면.
도 4는 대상 페이지 특징을 추출하는 과정을 나타내는 도면.
도 5는 본 발명에서 적용되는 페이지 파일의 구성을 나타내는 도면.
도 6은 본 발명에서 페이지 특징 추출의 일 실시예를 계략적으로 나타내는 도면.
도 7은 본 발명의 데이터 분포 특성의 실시예를 나타내는 도면.
<도면의 주요 부분에 대한 부호의 설명>
101 : 대상 디스크 데이터 접속부
103 : 페이지파일 추출부
105 : 저장 페이지 특징 추출부
107 : 페이지 특징 데이터베이스
109 : 페이지 분류부
113 : 디지털 포렌식 수행부

Claims (16)

  1. 대상 저장 매체에 저장된 페이지파일을 추출하는 페이지파일 추출부;
    상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 저장 페이지 특징 추출부;
    상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하고 상기 비교 결과에 따라 상기 페이지를 분류하는 페이지 분류부;
    상기 분류된 페이지에 상응하여 디지털 포렌식을 수행하는 디지털 포렌식 수행부
    를 포함하는 디지털 포렌식 장치.
  2. 제1항에 있어서,
    상기 페이지파일은 윈도우즈 운영체계를 이용하는 컴퓨팅 환경에서 가상 메모리 데이터를 페이지 단위로 저장하는 것을 특징으로 하는 디지털 포렌식 장치.
  3. 제1항에 있어서,
    상기 페이지의 특징은 상기 페이지 내부의 메모리 주소에 따른 이진(binary) 데이터 분포 특성에 상응하는 것을 특징으로 하는 디지털 포렌식 장치.
  4. 제1항에 있어서,
    상기 분류 기준은 페이지 특징 데이터베이스에 저장되는 것
    을 특징으로 하는 디지털 포렌식 장치.
  5. 제1항에 있어서,
    상기 페이지파일은 커널 영역 데이터 저장부 및 사용자 영역 데이터 저장부를 포함하며 상기 사용자 영역 데이터 저장부는 적어도 하나의 실행 섹션 및 힙/스택 섹션을 포함하는 것
    을 특징으로 하는 디지털 포렌식 장치.
  6. 제1항에 있어서,
    상기 대상 저장 매체는 전원이 차단되는 경우에도 이미 저장된 페이지파일을 보존할 수 있는 데이터 저장 매체인 것을 특징으로 하는 디지털 포렌식 장치.
  7. 제1항에 있어서,
    상기 페이지 분류부는 상기 페이지를 적어도 하나의 실행 섹션별로 분류하는 것
    을 특징으로 하는 디지털 포렌식 장치.
  8. 제1항에 있어서,
    상기 페이지는 4Kbyte 단위인 것을 특징으로 하는 디지털 포렌식 장치.
  9. 제3항에 있어서,
    상기 이진 데이터의 분포 특성은 상기 페이지가 포함된 섹션에 따라 상이하게 표현되는 것
    을 특징으로 하는 디지털 포렌식 장치.
  10. 대상 저장 매체에 저장된 페이지파일을 추출하는 단계;
    상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 단계;
    상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하여 상기 비교 결과에 따라 상기 페이지를 분류하는 단계 및
    상기 분류된 페이지 데이터에 상응하여 디지털 포렌식을 수행하는 단계
    를 포함하는 디지털 포렌식 방법.
  11. 제10항에 있어서,
    상기 페이지파일은 윈도우즈 운영체계를 이용하는 컴퓨팅 환경에서 가상 메모리 데이터를 페이지 단위로 저장하는 것을 특징으로 하는 디지털 포렌식 방법.
  12. 제10항에 있어서,
    상기 페이지의 특징은 상기 페이지 내부의 메모리 주소에 따른 이진(binary) 데이터 분포 특성에 상응하는 것을 특징으로 하는 디지털 포렌식 방법.
  13. 제10항에 있어서,
    상기 분류 기준은 특징 데이터베이스에 저장하는 단계를 더 포함하는 디지털 포렌식 방법.
  14. 제13항에 있어서,
    상기 특징 데이터베이스에 분류 기준을 저장하는 단계는
    정상 상태의 컴퓨팅 환경에서 페이지파일을 추출하는 단계;
    상기 추출된 페이지파일에 상응하는 페이지파일 내부 메모리의 주소를 분석하는 단계;
    상기 분석된 메모리의 주소에 상응하여 상기 페이지파일의 섹션을 분석하는 단계;
    상기 분석된 섹션에 포함된 페이지의 특징을 분석하는 단계 및
    상기 분석된 페이지 특징을 분류 기준으로 결정하여 특징 데이터베이스에 저장하는 단계
    를 포함하는 디지털 포렌식 방법.
  15. 제10항에 있어서,
    상기 페이지파일은 커널 영역 데이터 저장부 및 사용자 영역 데이터 저장부를 포함하며 상기 사용자 영역 데이터 저장부는 적어도 하나의 실행 섹션 및 힙/스 택 섹션을 포함하는 것
    을 특징으로 하는 디지털 포렌식 방법.
  16. 제10항에 있어서,
    상기 대상 저장 매체는 전원이 차단되는 경우에도 이미 저장된 페이지파일을 보존할 수 있는 데이터 저장 매체인 것을 특징으로 하는 디지털 포렌식 방법.
KR1020080051716A 2008-06-02 2008-06-02 디지털 포렌식 방법 및 장치 KR100961179B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020080051716A KR100961179B1 (ko) 2008-06-02 2008-06-02 디지털 포렌식 방법 및 장치
US12/252,869 US8145586B2 (en) 2008-06-02 2008-10-16 Method and apparatus for digital forensics

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080051716A KR100961179B1 (ko) 2008-06-02 2008-06-02 디지털 포렌식 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20090125552A true KR20090125552A (ko) 2009-12-07
KR100961179B1 KR100961179B1 (ko) 2010-06-09

Family

ID=41380998

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080051716A KR100961179B1 (ko) 2008-06-02 2008-06-02 디지털 포렌식 방법 및 장치

Country Status (2)

Country Link
US (1) US8145586B2 (ko)
KR (1) KR100961179B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101658043B1 (ko) 2015-08-20 2016-09-20 주식회사 웨어밸리 자동화 도구를 이용한 데이터베이스 포렌식 방법
WO2018088596A1 (ko) * 2016-11-10 2018-05-17 (주) 글루시스 메모리 포렌식을 이용한 인메모리 데이터 추출 방법
US10983878B2 (en) 2018-11-27 2021-04-20 Electronics And Telecommunications Research Institute Processor for detecting and preventing recognition error

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8780112B2 (en) * 2011-06-08 2014-07-15 Pacific Data Images Llc Coherent out-of-core point-based global illumination
US9792289B2 (en) * 2014-11-07 2017-10-17 Semandex Networks Inc. Systems and methods for file clustering, multi-drive forensic analysis and data protection
KR102335310B1 (ko) * 2020-04-01 2021-12-08 주식회사 한컴위드 보안 우회를 통한 증거데이터의 포렌식 획득 방법 및 획득 프로그램
US11295175B1 (en) * 2020-09-25 2022-04-05 International Business Machines Corporation Automatic document separation

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030056103A1 (en) * 2000-12-18 2003-03-20 Levy Kenneth L. Audio/video commerce application architectural framework
US7496500B2 (en) 2004-03-01 2009-02-24 Microsoft Corporation Systems and methods that determine intent of data and respond to the data based on the intent
US7941386B2 (en) * 2005-10-19 2011-05-10 Adf Solutions, Inc. Forensic systems and methods using search packs that can be edited for enterprise-wide data identification, data sharing, and management
US7787030B2 (en) * 2005-12-16 2010-08-31 The Research Foundation Of State University Of New York Method and apparatus for identifying an imaging device
US7616237B2 (en) * 2005-12-16 2009-11-10 The Research Foundation Of State University Of New York Method and apparatus for identifying an imaging device
KR101214616B1 (ko) 2005-12-26 2012-12-21 재단법인서울대학교산학협력재단 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법
WO2008005950A2 (en) * 2006-06-30 2008-01-10 New Jersey Institute Of Technology An apparatus and method for a generalized benford's law for analysis of dct and jpeg coefficients
JP2008097484A (ja) 2006-10-16 2008-04-24 Hitachi Ltd ログ管理システムおよびフォレンジック調査方法
KR100911377B1 (ko) * 2007-10-05 2009-08-10 한국전자통신연구원 디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법
US8014976B2 (en) * 2007-10-24 2011-09-06 Microsoft Corporation Secure digital forensics
US20080065811A1 (en) * 2007-11-12 2008-03-13 Ali Jahangiri Tool and method for forensic examination of a computer

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101658043B1 (ko) 2015-08-20 2016-09-20 주식회사 웨어밸리 자동화 도구를 이용한 데이터베이스 포렌식 방법
WO2018088596A1 (ko) * 2016-11-10 2018-05-17 (주) 글루시스 메모리 포렌식을 이용한 인메모리 데이터 추출 방법
US10983878B2 (en) 2018-11-27 2021-04-20 Electronics And Telecommunications Research Institute Processor for detecting and preventing recognition error

Also Published As

Publication number Publication date
US8145586B2 (en) 2012-03-27
KR100961179B1 (ko) 2010-06-09
US20090299935A1 (en) 2009-12-03

Similar Documents

Publication Publication Date Title
KR100961179B1 (ko) 디지털 포렌식 방법 및 장치
Pal et al. The evolution of file carving
US20150256552A1 (en) Imalicious code detection apparatus and method
US20200285808A1 (en) Synonym dictionary creation apparatus, non-transitory computer-readable recording medium storing synonym dictionary creation program, and synonym dictionary creation method
KR20160082644A (ko) 코드 블록 구분을 통한 악성 코드 탐지 방법 및 장치
CN108256329B (zh) 基于动态行为的细粒度rat程序检测方法、系统及相应的apt攻击检测方法
EP1909194A4 (en) INFORMATION PROCESSING DEVICE, METHOD OF CHARACTERIZATION, RECORDING MEDIUM AND PROGRAM
CN104750791A (zh) 一种图像检索方法及装置
US20190362187A1 (en) Training data creation method and training data creation apparatus
CN104298766A (zh) 一种清除SQLite数据库中数据的方法
KR102031592B1 (ko) 악성코드를 탐지하기 위한 방법 및 장치
US8359592B2 (en) Identifying groups and subgroups
CN107688744B (zh) 基于图像特征匹配的恶意文件分类方法及装置
US20160077918A1 (en) Method and apparatus for recovering partition based on file system metadata
CN106874147B (zh) 一种恢复并解析Windows操作系统预读文件的方法
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
CN113704180A (zh) 一种基于嵌入式设备固件文件信息特征库的无损化固件提取方法
CN114302227A (zh) 基于容器采集的网络视频采集与解析的方法和系统
KR102161233B1 (ko) 악성코드 데이터를 분류하는 장치 및 방법
CN112883375A (zh) 恶意文件识别方法、装置、设备及存储介质
CN115310082A (zh) 信息处理方法、装置、电子设备及存储介质
Ramli et al. Analysis of file carving approaches: A literature review
JP5184987B2 (ja) 索引情報作成装置、索引情報作成方法及びプログラム
Li Searching and extracting digital image evidence
US20230004499A1 (en) Apparatus and method for extracting memory map information from firmware

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130410

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140326

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160328

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170529

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee