KR20150089698A - 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 - Google Patents
가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 Download PDFInfo
- Publication number
- KR20150089698A KR20150089698A KR1020140010612A KR20140010612A KR20150089698A KR 20150089698 A KR20150089698 A KR 20150089698A KR 1020140010612 A KR1020140010612 A KR 1020140010612A KR 20140010612 A KR20140010612 A KR 20140010612A KR 20150089698 A KR20150089698 A KR 20150089698A
- Authority
- KR
- South Korea
- Prior art keywords
- analysis
- computer
- target information
- forensic
- storage device
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Human Computer Interaction (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 발명은 동작 중인 활성 컴퓨터 시스템 정보에 대한 변경 및 동작 간섭을 최소화하면서 해당 시스템에 대한 포렌식 조사 또는 분석을 가능하게 하는 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법에 관한 것으로서, 상기 포렌식 분석 시스템에 따르면, 조사 대상 컴퓨터와 분석용 컴퓨터의 연동을 통해 포렌식 분석을 하는 포렌식 분석 시스템에 있어서, 상기 조사 대상 컴퓨터는 상기 분석용 컴퓨터에 저장된 수집 에이전트 설치 프로그램을 실행하고, 상기 분석용 컴퓨터의 요청에 따라 분석 대상 정보를 전송하도록 구성될 수 있다.
Description
본 발명은 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법에 관한 것으로, 동작 중인 활성 컴퓨터 시스템 정보에 대한 변경 및 동작 간섭을 최소화하면서 해당 시스템에 대한 포렌식 조사 또는 분석을 가능하게 하는 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법에 관한 것이다.
디지털 포렌식은 컴퓨터에 의해 발생된 정보들을 범죄 수사에 이용하여 결정적인 증거를 찾는 분야이다. 정보 기술의 발달에 따라 대부분의 정보가 디지털화 되어가고 있어, 범죄 수사 등에서 증거 자료나 데이터 정보를 얻는 대상도 서류 문서와 같은 아날로그 매체에서 컴퓨터 하드 디스크와 같은 디지털 매체로 변경되고 있다.
그러나 디지털 정보의 속성상 정보의 폐기가 매우 용이하여 관련 증거를 확보하는데 어려움이 존재하였다. 이러한 디지털 환경에서 지워지거나 삭제된 하드디스크 등의 디지털 저장 매체를 통하여 정보를 획득하는 방법이 필요하게 되었는데, 이런 분야를 디지털 포렌식이라 한다.
한편, 활성시스템 분석(Live Forensic)이란 일반적인 컴퓨터 포렌식 수사와 달리 현재 동작중인 시스템에서 동작중인 프로세스 정보와 같이 주로 대상 시스템의 메모리상 저장되어 있는 다양한 시스템 관련 정보들을 획득하는 기술 분야이다.
특히, 최근 Microsoft사의 Windows 시스템에서 지원하는 BitLocker와 같은 디스크 볼륨 암호기술과 같이 시스템 디바이스 주요 데이터 저장 공간인 하드 디스크를 원천적으로 암호화하는 기술의 보급으로 인해 증거 컴퓨터의 하드 디스크를 분리하여 전체 내용을 복제하는 전통적인 디스크 이미징 기술의 적용이 더욱 어려워지면서 활성 시스템 분석 기술에 대한 의존도가 높아지고 있는 실정이다.
일반적으로 활성 시스템 분석 기술의 경우, 분석을 위한 프로그램이 해당 시스템에 설치되어 해당 시스템의 시스템 정보를 변경시킬 우려가 있어 이를 최소화하기 위한 다양한 기술들이 사용되고 있으며, 최근에는 분석에 필요한 프로그램이 저장된 USB 메모리 장치를 해당 시스템의 USB 연결 인터페이스에 연결한 후 해당 시스템에서 구동하는 방식의 기술이 널리 사용되고 있다.
하지만, 이 방식의 경우 다음과 같은 두 가지 문제가 발생할 수 있다. 우선, 분석용 USB를 연결한 후 조사관이 해당 컴퓨터의 콘솔이나 터미널에 접속해야 한다는 점이다.
Unix와 같은 멀티 유저 시스템이면 큰 문제가 없으나, 일반 Windows의 경우 멀티 유저의 다중 접속이 쉽지 않으므로 해당 컴퓨터의 소유자 또는 원 이용자는 조사 과정 안 해당 컴퓨터를 이용한 어떤 작업도 할 수 없다는 단점이 있다.
물론, 포렌식 수사의 안전성을 위해서는 이러한 점이 단점이 될 수 없겠지만, 최근 용의자 컴퓨터에 대한 법원의 압수수색 허용 조건이 보다 까다로워지는 점에서 용의자가 업무를 이유로 컴퓨터 시스템의 셧-다운에 동의하지 않을 경우도 빈번하게 발생하는 점에서 이러한 문제는 크게 부각될 수 있다.
다음으로 분석용 프로그램이 수집한 결과는 당연히 해당 시스템이 아닌 분석 프로그램이 저장된 휴대용 저장장치 자체에 보관되어야 하는 방식이 가지는 문제점이다. 이럴 경우 USB 저장장치의 용량 문제가 발생할 수도 있으며 수집된 데이터를 분석하기 위해서는 분석용 컴퓨터로 USB 저장장치를 옮겨야 하는 번거로움이 발생할 수도 있다.
따라서, 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은, 동작 중인 활성 컴퓨터 시스템 정보에 대한 변경 및 동작 간섭을 최소화하면서 해당 시스템에 대한 포렌식 조사 또는 분석을 가능하게 하는 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 실시 예는 조사 대상 컴퓨터와 분석용 컴퓨터의 연동을 통해 포렌식 분석을 하는 포렌식 분석 시스템에 있어서, 상기 조사 대상 컴퓨터는 상기 분석용 컴퓨터에 저장된 수집 에이전트 설치 프로그램을 실행하고, 상기 분석용 컴퓨터의 요청에 따라 분석 대상 정보를 전송하도록 구성된다.
상기 분석용 컴퓨터는, USB 저장장치를 에뮬레이션한 가상 저장장치; 상기 분석 대상 정보를 포렌식 분석하는 포렌식 분석부; 및 상기 분석 대상 정보, 상기 수집 에이전트 설치 프로그램을 저장하는 물리 저장장치로 구성될 수 있다.
상기 가상 저장장치는, 분석 대상 정보를 상기 조사 대상 컴퓨터로 요청하고, 해당 분석 대상 정보를 수신하는 처리부; 상기 조사 대상 컴퓨터와의 통신을 위한 통신부; 및 상기 분석 대상 정보를 상기 분석용 컴퓨터에서 사용할 수 있는 형태로 변환하는 파일 변환부로 구성될 수 있다.
상기 통신부는 상기 가상 저장장치가 사용자가 설정한 특정 포트만 사용하도록 하는 통신 포트 지정기일 수 있다.
상기 조사 대상 컴퓨터는, 상기 조사 대상 컴퓨터가 동작하면서 발생하는 모든 데이터를 저장하는 조사 대상 저장장치; 및 상기 수집 에이전트 설치 프로그램을 실행함에 따라 생성되어, 상기 분석 대상 정보를 수집하고, 수집된 분석 대상 정보를 상기 분석용 컴퓨터로 전송하는 수집 에이전트로 구성될 수 있다.
상기 수집 에이전트는, 상기 분석용 컴퓨터와의 통신을 위한 통신부; 및 상기 분석용 컴퓨터로부터 분석 대상 정보 요청을 수신하고, 해당 분석 대상 정보를 수집하여, 상기 분석 컴퓨터로 전송하는 수집부로 구성될 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 방법은, 분석용 컴퓨터와 조사 대상 컴퓨터를 연결하여, 조사 대상 컴퓨터에 수집 에이전트를 생성하는 단계; 상기 분석용 컴퓨터가 상기 조사 대상 컴퓨터로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터로부터 해당 분석 대상 정보를 수신하는 단계; 및 포렌식 분석부가 저장된 분석 대상 정보를 포렌식 분석하는 단계를 포함할 수 있다.
이때, 상기 수집 에이전트를 생성하는 단계는, 상기 조사 대상 컴퓨터가 상기 분석용 컴퓨터와 연결된 후, 상기 분석용 컴퓨터에 저장된 수집 에이전트 설치 프로그램을 인식 및 실행하여 이루어질 수 있다.
한편, 상기 포렌식 분석하는 단계가 완료되면, 조사 대상 컴퓨터로부터 상기 분석용 컴퓨터를 분리하여, 조사 대상 컴퓨터와 분석용 컴퓨터의 연결을 해제하는 단계를 더 포함할 수 있다.
또한, 상기 분석용 컴퓨터가 상기 조사 대상 컴퓨터로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터로부터 해당 분석 대상 정보를 수신하는 단계는, 사용자 인터페이스를 통해 입력된 분석 대상 정보 요청이 가상 저장장치를 통해 상기 조사 대상 컴퓨터로 전송되는 단계; 상기 조사 대상 컴퓨터가 분석 대상 정보 요청을 수신하면, 수집 에이전트가 분석 대상 정보 요청을 해독하여, 요청되는 분석 대상 정보를 수집하여, 수집된 분석 대상 정보를 상기 분석용 컴퓨터로 제공하는 단계; 및 상기 분석용 컴퓨터가 분석 대상 정보를 수신하면, 파일 변환부가 상기 분석 대상 정보를 상기 분석용 컴퓨터 내에서 사용할 수 있는 형태로 변환하여 물리 저장장치에 저장하는 단계를 포함할 수 있다.
본 발명에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법에 따르면, 수집 에이전트 프로그램을 조사 대상 컴퓨터에 설치한 이후부터는 수집 및 분석에 이르는 모든 과정을 분석용 컴퓨터에서 수행할 수 있다.
따라서, 동작 중인 활성 컴퓨터 시스템 정보에 대한 변경 및 동작 간섭을 최소화하면서 해당 시스템에 대한 포렌식 조사 또는 분석이 가능하다.
도 1은 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 구성도이다.
도 2는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 가상 저장장치의 상세 구성도이다.
도 3은 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 수집 에이전트의 상세 구성도이다.
도 4는 본 발명의 실시 예에 따른 분석용 컴퓨터와 조사 대상 컴퓨터의 연결 과정을 도시한 도면이다.
도 5는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 방법에 따른 분석 순서를 도시한 순서도이다.
도 2는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 가상 저장장치의 상세 구성도이다.
도 3은 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 수집 에이전트의 상세 구성도이다.
도 4는 본 발명의 실시 예에 따른 분석용 컴퓨터와 조사 대상 컴퓨터의 연결 과정을 도시한 도면이다.
도 5는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 방법에 따른 분석 순서를 도시한 순서도이다.
이하, 본 발명의 바람직한 실시 예를 첨부된 도면들을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 이 과정에서 도면에 도시된 선들의 두께나 구성요소의 크기 등은 설명의 명료성과 편의상 과장되게 도시되어 있을 수 있다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례에 따라 달라질 수 있다. 그러므로, 이러한 용어들에 대한 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 구성도이다.
도 1을 참조하면, 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템은 분석용 컴퓨터(100) 및 조사 대상 컴퓨터(200)를 포함한다.
상기 분석용 컴퓨터(100)는 상기 조사 대상 컴퓨터(200)로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터(200)로부터 분석 대상 정보를 수신하여, 분석 대상 정보에 대해 포렌식 분석을 수행한다.
상기 분석용 컴퓨터(100)는 사용자 인터페이스(110), 가상 저장장치(120), 포렌식 분석부(130) 및 물리 저장장치(140)를 포함할 수 있다.
상기 사용자 인터페이스(110)는 사용자가 정보 수집과 분석 및 통신 포트 설정 등을 설정할 수 있도록 제공하는 것으로, 사용자는 상기 사용자 인터페이스(110)를 통해 정보 수집에 대한 요청, 수집된 정보에 대한 분석, 상기 조사 대상 컴퓨터(200)와의 통신 포트 설정 등을 수행한다.
상기 가상 저장장치(120)는 USB 저장장치를 에뮬레이션한 가상 USB 장치로서, 상기 조사 대상 컴퓨터(200)는 상기 분석용 컴퓨터(100)가 연결되는 경우, USB 저장장치인 것으로 인식한다.
상기 포렌식 분석부(130)는 상기 조사 대상 컴퓨터(200)로부터 수집된 분석 대상 정보를 포렌식 분석한다.
이때, 상기 포렌식 분석부(130)는 상기 가상 저장장치(120)로부터 분석 대상 정보를 수신하여 포렌식 분석을 할 수도 있으나, 상기 물리 저장장치(140)에 저장된 분석 대상 정보를 수신하여 포렌식 분석을 할 수도 있다.
상기 물리 저장장치(140)는 상기 분석 대상 컴퓨터(100)의 전체적인 운영을 위한 정보, 상기 가상 저장장치(120)를 통해 수신되는 분석 대상 정보, 포렌식 분석 결과 데이터 등을 저장한다.
특히, 상기 물리 저장장치(140)는 상기 조사 대상 컴퓨터(200)가 연결되는 경우, 상기 조사 대상 컴퓨터(200)가 수집 에이전트 기능을 수행하도록 하는 수집 에이전트 설치 프로그램을 저장하고 있다.
상기 조사 대상 컴퓨터(200)는 조사 대상 저장장치(210) 및 수집 에이전트(220)를 포함한다.
상기 조사 대상 저장장치(210)는 조사 대상 컴퓨터(200)가 동작하면서 발생한 모든 데이터를 저장하는 것으로서, 모든 데이터는 상기 분석용 컴퓨터(100)의 분석 대상이 될 수 있으며, 메모리와 하드 디스크로 구성될 수 있다.
상기 수집 에이전트(220)는 상기 분석용 컴퓨터(100)로부터 분석 대상 정보 요청을 수신하는 경우, 해당 분석 대상 정보를 상기 조사 대상 저장장치(210)로부터 수집하고, 수집된 해당 분석 대상 정보를 상기 분석용 컴퓨터(100)로 제공한다.
이때, 상기 수집 에이전트(220)는 상기 분석용 컴퓨터(100)의 상기 가상 저장장치(120)와 연결되어, 정보를 송수신하도록 구성된다.
도 2는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 가상 저장장치의 상세 구성도이다.
도 2를 참조하면, 상기 가상 저장장치(120)는 처리부(121), 통신부(122) 및 파일 변환부(123)를 포함한다.
상기 처리부(121)는 분석 대상 정보를 상기 조사 대상 컴퓨터(200)로 요청하는 한편, 상기 조사 대상 컴퓨터(200)로부터 전송되는 해당 분석 대상 정보를 수신한다.
상기 통신부(122)는 상기 조사 대상 컴퓨터(200)와의 통신을 수행하는 것으로, 통신 포트 기능을 하며, 예를 들어 분석용 컴퓨터(100)에 다수의 포트가 존재할 경우, 가장 저장장치(120)가 사용자가 사용자 인터페이스(110)를 통해 설정한 특정 포트만 사용하도록 하는 통신 포트 지정기(port selector)일 수 있다.
따라서, 상기 분석용 컴퓨터(100)를 상기 조사 대상 컴퓨터(200)와 연결하기 전에 사용자는 상기 사용자 인터페이스(110)를 통해 통신부(122)가 사용할 포트를 설정해야 한다.
뿐만 아니라, 사용자는 상기 가상 저장장치(120)와 매핑될 물리 저장장치(140)의 크기 및 파티션 등도 상기 사용자 인터페이스(110)를 통해 설정해야 한다.
상기 파일 변환부(123)는 상기 조사 대상 컴퓨터(200)로부터 수신한 분석 대상 정보를 분석용 컴퓨터(100)에서 사용할 수 있는 형태로 변환한다.
도 3은 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템의 수집 에이전트의 상세 구성도이다.
도 3을 참조하면, 상기 수집 에이전트(220)는 통신부(221) 및 수집부(222)를 포함한다.
상기 통신부(221)는 상기 분석용 컴퓨터(100), 특히 상기 가상 저장장치(120)와 통신하기 위한 것으로, 직접적으로 상기 가상 저장장치(120)의 통신부(122)와 연결된다.
상기 수집부(222)는 상기 분석용 컴퓨터(100)로부터 요청 명령을 해독하여, 요청되는 분석 대상 정보를 수집하여, 수집된 분석 대상 정보를 제공한다.
상기 수집부(222)에 의해 수집된 분석 대상 정보는 상기 통신부(221)에 의해 USB 포트를 통해 상기 분석용 컴퓨터(100)로 전송된다.
도 4는 본 발명의 실시 예에 따른 분석용 컴퓨터와 조사 대상 컴퓨터의 연결 과정을 도시한 도면이다.
분석용 컴퓨터(100)를 조사 대상 컴퓨터(200)에 연결하면, 도 4(a)에서와 같이, 조사 대상 컴퓨터(200)는 도 2의 기능 구조에 대해 전혀 인식하지 못하며, 일반 USB 저장장치에 설치된 프로그램을 실행하듯이 수집 에이전트 설치 프로그램을 실행하며, 도 4(b)와 같이 수집 에이전트(220)가 조사 대상 컴퓨터(200)에 설치되어 동작을 시작하게 된다.
도 5는 본 발명의 실시 예에 따른 가상화 인터페이스를 이용한 포렌식 분석 방법에 따른 분석 순서를 도시한 순서도이다.
도 5를 참조하면, 먼저, 분석용 컴퓨터(100)와 조사 대상 컴퓨터(200)를 연결하여, 조사 대상 컴퓨터에 수집 에이전트를 생성하는 단계(S110)가 이루어진다.
이때, 상기 분석용 컴퓨터(100)에는 수집 에이전트 설치 프로그램이 저장되어 있으며, 상기 조사 대상 컴퓨터(200)는 상기 분석용 컴퓨터(100)가 연결된 후, 상기 수집 에이전트 설치 프로그램을 인식하여 상기 수집 에이전트 설치 프로그램을 실행함으로써, 상기 수집 에이전트를 생성한다.
이후, 분석용 컴퓨터(100)는 상기 조사 대상 컴퓨터(200)로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터(200)로부터 해당 분석 대상 정보를 수신한다(S120).
이때, 분석 대상 정보 요청은 사용자 혹은 분석자가 사용자 인터페이스(110)를 통해 입력하며, 사용자 인터페이스(110)를 통해 입력된 분석 대상 정보 요청은 가상 저장장치(120)를 통해 상기 조사 대상 컴퓨터(200)로 전송된다.
또한, 조사 대상 컴퓨터(200)가 분석 대상 정보 요청을 수신하면, 수집 에이전트(220)가 분석 대상 정보 요청을 해독하여, 요청되는 분석 대상 정보를 수집하고, 수집된 분석 대상 정보를 상기 분석용 컴퓨터(100)로 제공한다.
상기 분석용 컴퓨터(100)가 분석 대상 정보를 수신하면, 파일 변환부(123)는 상기 분석 대상 정보를 상기 분석용 컴퓨터(100) 내에서 사용할 수 있는 형태로 변환하여 물리 저장장치(140)에 저장한다.
다음으로, 포렌식 분석부(130)가 저장된 분석 대상 정보를 포렌식 분석한다(S130). 이때, 상기 포렌식 분석부(130)가 분석 대상 정보를 분석한 결과는 물리 저장장치(140)에 저장된다.
상기 포렌식 분석부(130)에 의한 포렌식 분석이 완료되면, 조사 대상 컴퓨터(200)로부터 상기 분석용 컴퓨터(100)를 분리하여, 조사 대상 컴퓨터(200)와 분석용 컴퓨터(140)의 연결을 해제한다(S140).
따라서, 조사 대상 컴퓨터와 별도의 분석용 컴퓨터에서 조사 대상 컴퓨 터에 저장된 분석 대상 정보에 대해 포렌식 분석을 할 수 있으므로, 조사 대상 컴퓨터 이용자는 분석에 상관없이 조사 대상 컴퓨터를 이용할 수 있다.
또한, 종래에는 USB에 분석 대상 정보를 수집하고, 이를 다시 분석용 컴퓨터에 연결하여 포렌식 분석을 하였으나, 분석용 컴퓨터에 가상 저장장치를 마련하고, 이를 이용하여 조사 대상 컴퓨터에 저장된 분석 대상 정보를 수집하여 분석용 컴퓨터에 직접 저장할 수 있다.
따라서, USB를 사용하는 경우 발생할 수 있는 저장 공간의 부족 문제, USB를 빈번하게 분석용 컴퓨터에 탈부착해야 하는 번거로움 등을 해소할 수 있다.
한편, 본 발명에 따른 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법을 실시 예에 따라 설명하였지만, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위 내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.
따라서, 본 발명에 기재된 실시 예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 분석용 컴퓨터
110 : 사용자 인터페이스
120 : 가상 저장장치 121 : 처리부
122 : 통신부 123 : 파일 변환부
130 : 포렌식 분석부 140 : 물리 저장장치
200 : 조사 대상 컴퓨터 210 : 조사 대상 저장장치
220 : 수집 에이전트 221 : 통신부
222 : 수집부
120 : 가상 저장장치 121 : 처리부
122 : 통신부 123 : 파일 변환부
130 : 포렌식 분석부 140 : 물리 저장장치
200 : 조사 대상 컴퓨터 210 : 조사 대상 저장장치
220 : 수집 에이전트 221 : 통신부
222 : 수집부
Claims (10)
- 조사 대상 컴퓨터와 분석용 컴퓨터의 연동을 통해 포렌식 분석을 하는 포렌식 분석 시스템에 있어서,
상기 조사 대상 컴퓨터는 상기 분석용 컴퓨터에 저장된 수집 에이전트 설치 프로그램을 실행하고, 상기 분석용 컴퓨터의 요청에 따라 분석 대상 정보를 전송하는 것인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 제 1 항에 있어서,
상기 분석용 컴퓨터는,
USB 저장장치를 에뮬레이션한 가상 저장장치;
상기 분석 대상 정보를 포렌식 분석하는 포렌식 분석부; 및
상기 분석 대상 정보, 상기 수집 에이전트 설치 프로그램을 저장하는 물리 저장장치를 포함하는 것인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 제 2 항에 있어서,
상기 가상 저장장치는,
분석 대상 정보를 상기 조사 대상 컴퓨터로 요청하고, 해당 분석 대상 정보를 수신하는 처리부;
상기 조사 대상 컴퓨터와의 통신을 위한 통신부; 및
상기 분석 대상 정보를 상기 분석용 컴퓨터에서 사용할 수 있는 형태로 변환하는 파일 변환부를 포함하는 것인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 제 3 항에 있어서,
상기 통신부는 상기 가상 저장장치가 사용자가 설정한 특정 포트만 사용하도록 지정하는 통신 포트 지정기인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 제 1 항에 있어서,
상기 조사 대상 컴퓨터는,
상기 조사 대상 컴퓨터가 동작하면서 발생하는 모든 데이터를 저장하는 조사 대상 저장장치; 및
상기 수집 에이전트 설치 프로그램을 실행함에 따라 생성되어, 상기 분석 대상 정보를 수집하고, 수집된 분석 대상 정보를 상기 분석용 컴퓨터로 전송하는 수집 에이전트를 포함하는 것인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 제 5 항에 있어서,
상기 수집 에이전트는,
상기 분석용 컴퓨터와의 통신을 위한 통신부; 및
상기 분석용 컴퓨터로부터 상기 통신부를 통해 분석 대상 정보 요청을 수신하고, 해당 분석 대상 정보를 수집하여, 수집된 분석 대상 정보를 상기 분석 컴퓨터로 전송하는 수집부를 포함하는 것인 가상화 인터페이스를 이용한 포렌식 분석 시스템.
- 분석용 컴퓨터와 조사 대상 컴퓨터를 연결하여, 조사 대상 컴퓨터에 수집 에이전트를 생성하는 단계;
상기 분석용 컴퓨터가 상기 조사 대상 컴퓨터로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터로부터 해당 분석 대상 정보를 수신하는 단계; 및
포렌식 분석부가 저장된 분석 대상 정보를 포렌식 분석하는 단계;
를 포함하는 가상화 인터페이스를 이용한 포렌식 분석 방법.
- 제 7 항에 있어서,
상기 수집 에이전트를 생성하는 단계는, 상기 조사 대상 컴퓨터가 상기 분석용 컴퓨터와 연결된 후, 상기 분석용 컴퓨터에 저장된 수집 에이전트 설치 프로그램을 인식 및 실행하여 이루어지는 것인 가상화 인터페이스를 이용한 포렌식 분석 방법.
- 제 7 항에 있어서,
상기 포렌식 분석하는 단계가 완료되면, 조사 대상 컴퓨터로부터 상기 분석용 컴퓨터를 분리하여, 조사 대상 컴퓨터와 분석용 컴퓨터의 연결을 해제하는 단계를 더 포함하는 가상화 인터페이스를 이용한 포렌식 분석 방법.
- 제 7 항에 있어서,
상기 분석용 컴퓨터가 상기 조사 대상 컴퓨터로 분석 대상 정보를 요청하고, 상기 조사 대상 컴퓨터로부터 해당 분석 대상 정보를 수신하는 단계는,
사용자 인터페이스를 통해 입력된 분석 대상 정보 요청이 가상 저장장치를 통해 상기 조사 대상 컴퓨터로 전송되는 단계;
상기 조사 대상 컴퓨터가 분석 대상 정보 요청을 수신하면, 수집 에이전트가 분석 대상 정보 요청을 해독하여, 요청되는 분석 대상 정보를 수집하여, 수집된 분석 대상 정보를 상기 분석용 컴퓨터로 제공하는 단계; 및
상기 분석용 컴퓨터가 분석 대상 정보를 수신하면, 파일 변환부가 상기 분석 대상 정보를 상기 분석용 컴퓨터 내에서 사용할 수 있는 형태로 변환하여 물리 저장장치에 저장하는 단계를 포함하는 것인 가상화 인터페이스를 이용한 포렌식 분석 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140010612A KR20150089698A (ko) | 2014-01-28 | 2014-01-28 | 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 |
| US14/605,429 US20150212758A1 (en) | 2014-01-28 | 2015-01-26 | Forensic analysis system and method using virtualization interface |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140010612A KR20150089698A (ko) | 2014-01-28 | 2014-01-28 | 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150089698A true KR20150089698A (ko) | 2015-08-05 |
Family
ID=53679087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140010612A KR20150089698A (ko) | 2014-01-28 | 2014-01-28 | 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20150212758A1 (ko) |
| KR (1) | KR20150089698A (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170086760A (ko) * | 2016-01-18 | 2017-07-27 | 한국전자통신연구원 | 에뮬레이션 기반의 포렌식 분석을 수행하는 전자 장치 및 그것을 이용하여 포렌식 분석을 수행하는 방법 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10810303B1 (en) * | 2013-02-26 | 2020-10-20 | Jonathan Grier | Apparatus and methods for selective location and duplication of relevant data |
| US20240020039A1 (en) * | 2022-07-13 | 2024-01-18 | Electronics And Telecommunications Research Institute | Evidence collection guidance method and apparatus for file selection and computer-readable storage medium |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8549327B2 (en) * | 2008-10-27 | 2013-10-01 | Bank Of America Corporation | Background service process for local collection of data in an electronic discovery system |
| US20120005274A1 (en) * | 2010-07-02 | 2012-01-05 | Electronics And Telecommunications Research Institute | System and method for offering cloud computing service |
| CN103593297A (zh) * | 2012-08-16 | 2014-02-19 | 鸿富锦精密工业(深圳)有限公司 | 虚拟u盘设计系统及方法 |
| US9330076B2 (en) * | 2013-01-28 | 2016-05-03 | Virtual StrongBox | Virtual storage system and file conversion method |
-
2014
- 2014-01-28 KR KR1020140010612A patent/KR20150089698A/ko not_active Application Discontinuation
-
2015
- 2015-01-26 US US14/605,429 patent/US20150212758A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170086760A (ko) * | 2016-01-18 | 2017-07-27 | 한국전자통신연구원 | 에뮬레이션 기반의 포렌식 분석을 수행하는 전자 장치 및 그것을 이용하여 포렌식 분석을 수행하는 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150212758A1 (en) | 2015-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9965631B2 (en) | Apparatus and method for analyzing malicious code in multi-core environment using a program flow tracer | |
| US10366226B2 (en) | Malicious code analysis device and method based on external device connected via USB cable | |
| Bashir et al. | Triage in live digital forensic analysis | |
| EP3477521B1 (en) | Process control device, process control method, and recording medium having process control program recorded therein | |
| US20110106936A1 (en) | Transaction storage determination via pattern matching | |
| EP3211824B1 (en) | Analysis system, analysis method, and analysis program | |
| KR20150089698A (ko) | 가상화 인터페이스를 이용한 포렌식 분석 시스템 및 방법 | |
| EP3151124A1 (en) | On-board information system and information processing method therefor | |
| US10242191B2 (en) | Dynamically-loaded code analysis device, dynamically-loaded code analysis method, and dynamically-loaded code analysis program | |
| Hazra et al. | Challenges in android forensics | |
| KR20110070733A (ko) | 네트워크 기반 원격 포렌식 시스템 | |
| Soares et al. | A Technique for Extraction and Analysis of Application Heap Objects within Android Runtime (ART). | |
| Liu et al. | Are we relying too much on forensics tools? | |
| KR101367062B1 (ko) | 컴퓨터 포렌식 과정에서 디스크 인터페이스를 사용한 저장매체 파일 직접 접근 시스템 및 방법 | |
| Easttom | A methodology for smart tv forensics | |
| US10902027B2 (en) | Generation of category information for measurement value | |
| JP6522537B2 (ja) | コマンド処理装置及びプログラム | |
| US20180159886A1 (en) | System and method for analyzing forensic data in a cloud system | |
| Safitri | A study: Volatility forensic on hidden files | |
| JP2020201682A (ja) | コンピュータ保有データ取出し装置 | |
| CN112631733B (zh) | 数据采集方法及装置 | |
| Singh et al. | A Novel Memory Forensics Technique for Windows 10. | |
| Tmienova et al. | Exploring Digital Forensics Tools in Cyborg Hawk Linux. | |
| KR101603713B1 (ko) | 부분 추출을 활용한 현장용 모바일 포렌식 방법 | |
| EP3200389A1 (en) | Analysis system, analysis device, analysis method, and recording medium having analysis program recorded therein |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |