KR20230139661A - Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool - Google Patents

Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool Download PDF

Info

Publication number
KR20230139661A
KR20230139661A KR1020220038262A KR20220038262A KR20230139661A KR 20230139661 A KR20230139661 A KR 20230139661A KR 1020220038262 A KR1020220038262 A KR 1020220038262A KR 20220038262 A KR20220038262 A KR 20220038262A KR 20230139661 A KR20230139661 A KR 20230139661A
Authority
KR
South Korea
Prior art keywords
area
hidden
file
data
fbinsttool
Prior art date
Application number
KR1020220038262A
Other languages
Korean (ko)
Other versions
KR102663598B1 (en
Inventor
김도현
홍표길
Original Assignee
부산가톨릭대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 부산가톨릭대학교 산학협력단 filed Critical 부산가톨릭대학교 산학협력단
Priority to KR1020220038262A priority Critical patent/KR102663598B1/en
Publication of KR20230139661A publication Critical patent/KR20230139661A/en
Application granted granted Critical
Publication of KR102663598B1 publication Critical patent/KR102663598B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • G06F21/1066Hiding content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Bioethics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Holo Graphy (AREA)

Abstract

본 발명은 FbinstTool을 사용하여 저장매체에 생성한 은닉 영역을 탐지하고 그 은닉 영역에 숨겨진 은닉 파일을 신뢰성 있게 추출하는 장치 및 방법에 관한 것이다. 상기 방법은, MBR 영역에 FbinstTool의 시그니처를 확인하고, SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하고, File_List 영역에 은닉파일의 메타데이터가 존재하면 메타데이터를 추출하고, 추출된 메타데이터를 이용하여 File_Data 영역에서 은닉 파일의 데이터를 추출하도록 한다. The present invention relates to an apparatus and method for detecting a hidden area created in a storage medium using FbinstTool and reliably extracting hidden files hidden in the hidden area. The above method checks the signature of FbinstTool in the MBR area, obtains location information of the File_List area and File_Data area in the SubMBR area, extracts metadata if metadata of a hidden file exists in the File_List area, and extracts the extracted metadata. Use to extract the data of the hidden file from the File_Data area.

Description

FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치 및 그 방법{Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool}Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool}

본 발명은 FbinstTool을 사용하여 저장매체에 생성한 은닉 영역을 탐지하고 그 은닉 영역에 숨겨진 은닉 파일을 신뢰성 있게 추출하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for detecting a hidden area created in a storage medium using FbinstTool and reliably extracting hidden files hidden in the hidden area.

파일 은닉 기술은 원본 파일이나 이미지에 영향을 크게 주지 않고 파일을 숨기는 기법을 의미한다. 종래에 다양한 파일 은닉 방법이 개시되어 있다.File hiding technology refers to a technique for hiding files without significantly affecting the original file or image. Various file hiding methods have been disclosed in the past.

일례로, 공개특허공보 제10-2018-0084585호(선행문헌 1)에 파일의 해킹 위험으로부터 보안성을 높이기 위해 위치 주소 지정에 의한 파일 은닉 방법이 개시되고, 공개특허공보 제10-2021-0097294호(선행문헌 2)에 단말의 보안 수준을 높이도록 단말의 특정 경로에서 생성된 파일을 다른 파일에 은닉하는 기술이 개시되어 있다. 이러한 선행문헌 1,2는 파일을 다른 파일이나 이미지에 은닉하는 것이다. For example, in Publication Patent Publication No. 10-2018-0084585 (Prior Document 1), a method of hiding files by specifying a location address is disclosed to increase security from the risk of file hacking, and in Publication Patent Publication No. 10-2021-0097294 (Prior Document 2) discloses a technology for hiding a file created in a specific path of a terminal in another file to increase the security level of the terminal. These prior documents 1 and 2 hide files in other files or images.

그런데, 최근에 특정 목적으로 저장매체에 파일을 찾기 어렵게 만들고 나중에 특정목적으로 사용할 수 있도록 파일을 은닉하는 시도가 있다. 악의적인 의도로 파일을 은닉하는 경우 이를 탐지하여 추출하는 기술이 필요하다.However, recently, there have been attempts to make files on storage media difficult to find for a specific purpose and to hide the files so that they can be used for a specific purpose later. If files are hidden with malicious intent, technology to detect and extract them is required.

컴퓨팅 장치의 운영 체제는 저장매체의 구조를 파악할 때 MBR(Master Boot Record) 영역을 참조한다. MBR 영역의 파티션 엔트리리(Partition Entry)에는 저장매체의 파티션 정보를 기록하는 영역이 존재하며, 해당 영역을 분석하면 파티션의 현황을 파악할 수 있다. 대부분의 윈도우의 탐색기 및 디스크 관리자, 디지털 포렌식의 파일 시스템 분석 도구들은 MBR 영역의 정보를 기반으로 파티션 현황을 분석하는 기능이 존재한다.The operating system of a computing device refers to the Master Boot Record (MBR) area when determining the structure of the storage medium. There is an area in the partition entry of the MBR area that records partition information of the storage medium, and by analyzing the area, the status of the partition can be determined. Most Windows Explorer, disk managers, and digital forensic file system analysis tools have a function to analyze partition status based on information in the MBR area.

저장매체에 은닉 영역을 생성한다는 것은 은닉 파티션을 생성하는 것과 같은 의미다. 저장매체의 파티션은 파일 시스템의 MBR 영역에 정보가 저장되기 때문에 운영체제는 512 Bytes인 작은 MBR 영역만 해석하면 해당 저장매체에 존재하는 모든 파티션의 현황을 파악할 수 있다. Creating a hidden area on a storage medium has the same meaning as creating a hidden partition. Since information about storage media partitions is stored in the MBR area of the file system, the operating system can determine the status of all partitions existing in the storage medium by analyzing only the small MBR area of 512 bytes.

따라서, 디지털 포렌식의 파일 시스템 분석 도구들은 이러한 저장매체의 파티션 현황을 분석하는 기능을 대부분 탑재하고 있으며 윈도우의 디스크 관리 기능 및 탐색기도 마찬가지다.Therefore, most digital forensic file system analysis tools are equipped with functions to analyze the partition status of such storage media, and the same goes for Windows' disk management function and explorer.

하지만, FbinstTool 프로그램을 사용하여 저장매체에 은닉 영역을 생성하면, EnCase, FTK Imager, Autopsy, X-ways Forensics 등 전문적인 디지털 포렌식 도구와 윈도우도 그 은닉 영역을 탐지하지 못하며, 아직 이를 탐지하고 은닉 영역 내부의 데이터를 추출하는 방법도 알려지지 않았다. However, if you use the FbinstTool program to create a hidden area on the storage medium, even Windows and professional digital forensic tools such as EnCase, FTK Imager, Autopsy, and X-ways Forensics cannot detect the hidden area. The method of extracting the internal data is also unknown.

오픈소스 툴인 FbinstTool은 사용자가 은닉 영역(은닉 파티션)의 크기를 지정하여 생성하는 것이 가능하고, 다른 멀티 부팅 USB 생성 도구에도 포함되어 사용되고 있다. FbinstTool, an open source tool, allows users to create a hidden area (hidden partition) by specifying its size, and is also included and used in other multi-boot USB creation tools.

현재까지 FbinstTool을 사용하여 저장매체에 생성한 은닉 영역에 대한 연구는 존재하지 않으며, 기존의 디지털 포렌식 도구 및 윈도우 운영체제에 내장된 도구로는 이 은닉 영역을 탐지할 수 없다. To date, there has been no research on the hidden areas created in storage media using FbinstTool, and existing digital forensic tools and tools built into the Windows operating system cannot detect these hidden areas.

FbinstTool로 생성할 수 있는 은닉 영역은 안티포렌식 관점에서 악의적인 의도로 사용될 가능성이 높기 때문에 해당 기술분야에서는 이를 탐지 및 추출하기 위한 기술의 개발이 요구되고 있다.Since the hidden area that can be created with FbinstTool is highly likely to be used with malicious intent from an anti-forensic perspective, the development of technology to detect and extract it is required in the relevant technical field.

(선행문헌 1) 공개특허공보 제10-2018-0084585호(Prior Document 1) Publication of Patent No. 10-2018-0084585 (선행문헌 2) 공개특허공보 제10-2021-0097294호(Prior Document 2) Public Patent Publication No. 10-2021-0097294

본 발명은 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역을 탐지하는 장치 및 방법을 제공하는데 목적이 있다.The purpose of the present invention is to provide an apparatus and method for detecting a hidden area created in a storage medium using FbinstTool.

본 발명은 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역에 숨겨진 은닉 파일을 추출하는 장치 및 방법을 제공하는데 목적이 있다.The purpose of the present invention is to provide an apparatus and method for extracting hidden files hidden in a hidden area created in a storage medium using FbinstTool.

본 발명은 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역에서 삭제된 은닉 파일을 복구하는 장치 및 방법을 제공하는데 목적이 있다.The purpose of the present invention is to provide an apparatus and method for recovering hidden files deleted from a hidden area created in a storage medium using FbinstTool.

본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역 및 은닉 파일의 탐지 및 추출 방법은, 저장매체를 인식하는 인식단계; 상기 저장매체의 MBR 영역에 FbinstTool의 시그니처를 확인하는 확인단계; 상기 시그니처가 확인되면 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하는 단계; 상기 File_List 영역에 은닉파일의 메타데이터의 존재 유무를 판단하는 판단단계; 상기 메타데이터가 존재하면 상기 메타데이터를 추출하는 제1추출단계; 및 상기 추출된 메타데이터를 이용하여 상기 File_Data 영역에서 상기 은닉 파일의 데이터를 추출하는 제2추출단계를 포함한다.A method for detecting and extracting a hidden area and a hidden file created using FbinstTool according to an embodiment of the present invention includes a recognition step of recognizing a storage medium; A confirmation step of checking the signature of FbinstTool in the MBR area of the storage medium; When the signature is confirmed, obtaining location information of the File_List area and File_Data area in the SubMBR area; A determination step of determining whether metadata of a hidden file exists in the File_List area; A first extraction step of extracting the metadata if the metadata exists; and a second extraction step of extracting data of the hidden file from the File_Data area using the extracted metadata.

본 발명에서, 상기 판단단계 이후에, 상기 File_List 영역에 상기 은닉 파일의 메타데이터가 존재하지 않으면, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하여 존재하면 상기 은닉 파일의 데이터를 추출하는 제3추출단계를 더 포함할 수 있다.In the present invention, after the determination step, if the metadata of the hidden file does not exist in the File_List area, it is determined whether the data of the hidden file exists in the File_Data area, and if so, the data of the hidden file is extracted. 3 Additional extraction steps may be included.

본 발명에서, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하거나, 상기 제2추출단계 또는 제3추출단계 이후에, 상기 File_Data 영역에 미할당된 영역 또는 슬랙 영역이 존재하는지를 판단하는 단계; 상기 미할당된 영역 또는 슬랙 영역이 존재하면 상기 미할당된 영역 또는 슬랙 영역을 추출하고 상기 추출된 영역에서 삭제된 은닉 파일의 데이터를 복구하는 단계; 및 상기 복구된 데이터를 추출하는 단계를 더 포함할 수 있다.In the present invention, determining whether data of the hidden file exists in the File_Data area or determining whether an unallocated area or slack area exists in the File_Data area after the second or third extraction step; If the unallocated area or slack area exists, extracting the unallocated area or slack area and recovering data of the hidden file deleted from the extracted area; And it may further include extracting the recovered data.

본 발명에서, 상기 판단단계는, 상기 저장매체가 인식되면 상기 MBR 영역이 복수개인지 판단하는 단계를 더 포함할 수 있다.In the present invention, the determining step may further include determining whether there is a plurality of MBR areas when the storage medium is recognized.

본 발명에서, 상기 판단단계는, 상기 MBR 영역은 0번 섹터부터 63번 섹터까지 64개의 MBR 영역이 반복되는지 판단한다.In the present invention, the determination step determines whether the MBR area repeats 64 MBR areas from sector 0 to sector 63.

본 발명에서, 상기 판단단계는, 상기 각각의 섹터마다 상기 MBR 영역의 0x1B4~0x1B7에 상기 시그니처가 존재하는지를 판단한다.In the present invention, the determination step determines whether the signature exists in 0x1B4 to 0x1B7 of the MBR area for each sector.

본 발명에서, 상기 SubMBR 영역은 64번 섹터부터 67번 섹터까지 존재한다.In the present invention, the SubMBR area exists from sector 64 to sector 67.

본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역 및 은닉 파일의 탐지 및 추출 장치는, FbinstTool에 의해 생성된 은닉 영역과 은닉 파일을 탐지 및 추출하기 위한 제1 프로그램을 저장하는 메모리; 상기 제1 프로그램을 실행하는 프로세서;를 포함하고, 상기 프로세서는, 상기 제1 프로그램을 실행하여 저장매체의 MBR 영역에 FbinstTool의 시그니처를 확인하고 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하고, 상기 File_List 영역에서 은닉 파일의 메타데이터를 추출하고, 상기 메타데이터를 이용하여 상기 File_Data 영역에서 상기 은닉 파일의 데이터를 추출한다.An apparatus for detecting and extracting a hidden area and a hidden file created using FbinstTool according to an embodiment of the present invention includes a memory storing a first program for detecting and extracting a hidden area and a hidden file created by FbinstTool; A processor executing the first program, wherein the processor executes the first program to check the signature of FbinstTool in the MBR area of the storage medium and obtain location information of the File_List area and File_Data area in the SubMBR area. , metadata of the hidden file is extracted from the File_List area, and data of the hidden file is extracted from the File_Data area using the metadata.

본 발명에서, 상기 프로세서는, 상기 File_List 영역에 상기 은닉 파일의 메타데이터가 존재하지 않으면, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하여 존재하면 상기 은닉 파일의 데이터를 추출한다.In the present invention, if metadata of the hidden file does not exist in the File_List area, the processor determines whether data of the hidden file exists in the File_Data area and, if so, extracts the data of the hidden file.

본 발명에서, 상기 프로세서는, 상기 File_Data 영역에 미할당된 영역 또는 슬랙 영역이 존재하면 상기 미할당된 영역 또는 슬랙 영역을 추출하고 상기 추출된 영역에서 삭제된 은닉 파일의 데이터를 복구하여 상기 복구된 데이터를 추출한다.In the present invention, if an unallocated area or slack area exists in the File_Data area, the processor extracts the unallocated area or slack area, recovers the data of the hidden file deleted from the extracted area, and restores the recovered data. Extract data.

본 발명에서, 상기 프로세서는 상기 MBR 영역에 FbinstTool의 시그니처를 확인하고 상기 MBR 영역이 0번 섹터부터 63번 섹터까지 반복되면 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득한다.In the present invention, the processor checks the signature of FbinstTool in the MBR area, and when the MBR area repeats from sector 0 to sector 63, it obtains location information of the File_List area and File_Data area in the SubMBR area.

본 발명에서, 상기 프로세서는, 상기 각각의 섹터마다 상기 MBR 영역의 0x1B4~0x1B7에 상기 시그니처가 있는지를 확인한다.In the present invention, the processor checks whether the signature exists in 0x1B4 to 0x1B7 of the MBR area for each sector.

본 발명의 실시예에 따른 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역 및 은닉 파일의 탐지 및 추출 장치와 방법은 다음의 효과가 있다.The apparatus and method for detecting and extracting hidden areas and hidden files created in a storage medium using FbinstTool according to an embodiment of the present invention has the following effects.

본 발명에 의하면 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역을 탐지할 수 있다.According to the present invention, the hidden area created in the storage medium can be detected using FbinstTool.

본 발명에 의하면 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역에 숨겨진 은닉 파일을 추출할 수 있다. According to the present invention, hidden files hidden in a hidden area created in a storage medium can be extracted using FbinstTool.

본 발명에 의하면 FbinstTool을 사용하여 저장매체에 생성된 은닉 영역에서 삭제된 은닉 파일을 복구할 수 있다.According to the present invention, hidden files deleted from the hidden area created in the storage medium can be recovered using FbinstTool.

도 1은 본 발명의 실시예에 따른 FbinstTool에 의한 은닉 영역을 탐지하고 은닉 파일을 추출하는 장치의 구성도.
도 2는 본 발명의 실시예에 따른 FbinstTool을 사용하여 은닉 영역을 생성하는 경우의 파일 시스템의 구조도.
도 3은 본 발명의 실시예에 따른 MBR 영역을 설명하는 도면.
도 4는 본 발명의 실시예에 따른 SubMBR 영역을 설명하는 도면.
도 5는 본 발명의 실시예에 따른 File_List 영역을 설명하는 도면.
도 6은 본 발명의 실시예에 따른 File_Data 영역을 설명하는 도면.
도 7은 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법을 보인 흐름도.
도 8은 본 발명의 다른 실시예에서 File_Data 영역에서 삭제된 은닉 파일의 데이터를 복구하여 추출하는 과정을 보인 흐름도.1 is a configuration diagram of a device for detecting a hidden area and extracting a hidden file by FbinstTool according to an embodiment of the present invention.
Figure 2 is a structural diagram of a file system when creating a hidden area using FbinstTool according to an embodiment of the present invention.
Figure 3 is a diagram illustrating the MBR area according to an embodiment of the present invention.
Figure 4 is a diagram illustrating the SubMBR area according to an embodiment of the present invention.
Figure 5 is a diagram illustrating the File_List area according to an embodiment of the present invention.
Figure 6 is a diagram explaining the File_Data area according to an embodiment of the present invention.
Figure 7 is a flowchart showing a method for detecting and extracting a hidden area and a hidden file created using FbinstTool according to an embodiment of the present invention.
Figure 8 is a flow chart showing the process of recovering and extracting data of a hidden file deleted from the File_Data area in another embodiment of the present invention.

이하, 본 발명의 일부 실시례들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시례를 설명함에 있어, 관련된 공지구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시례에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.Hereinafter, some embodiments of the present invention will be described in detail through illustrative drawings. When adding reference numerals to components in each drawing, it should be noted that identical components are given the same reference numerals as much as possible even if they are shown in different drawings. Additionally, when describing embodiments of the present invention, if detailed descriptions of related known configurations or functions are judged to impede understanding of the embodiments of the present invention, the detailed descriptions will be omitted.

본 발명은 저장매체에 FbinstTool을 이용하여 은닉한 파일을 탐지하고 추출하는 방법에 관한 것이다. 본 발명의 방법은 컴퓨팅 장치의 내부에 있는 내장형 저장매체뿐만 아니라 컴퓨팅 장치에 착탈되는 외장형 저장매체도 적용될 수 있다.The present invention relates to a method of detecting and extracting hidden files from a storage medium using FbinstTool. The method of the present invention can be applied not only to a built-in storage medium inside the computing device, but also to an external storage medium that is removable from the computing device.

이하에서, 첨부된 도면들을 참조하여 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법에 대하여 상세하게 설명한다.Hereinafter, a method for detecting and extracting a hidden area and a hidden file created using FbinstTool according to an embodiment of the present invention will be described in detail with reference to the attached drawings.

도 1은 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치의 구성도이다.1 is a configuration diagram of a device for detecting and extracting a hidden area and hidden files created using FbinstTool according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치(100)(이하, 장치(100)라 한다)는 프로세서(processor)(110)와 메모리(memory)(120)를 포함하여 구성될 수 있다.Referring to FIG. 1, the device 100 (hereinafter referred to as device 100) for detecting and extracting hidden areas and hidden files created using FbinstTool according to an embodiment of the present invention includes a processor 110. It may be configured to include a memory (memory) 120.

메모리(120)는 복수개의 프로그램 및 데이터를 저장할 수 있으며, 프로세서(110)는 메모리(120)에 저장된 프로그램을 실행시킬 수 있다. The memory 120 can store a plurality of programs and data, and the processor 110 can execute the programs stored in the memory 120.

메모리(120)에 저장된 복수개의 프로그램 중 하나는 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일을 탐지하고 추출하는 제1 프로그램이 될 수 있다. 이에, 프로세서(110)는 제1 프로그램을 실행하여 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일을 탐지하고 추출할 수 있다.One of the plurality of programs stored in the memory 120 may be a first program that detects and extracts the hidden area and hidden files created using FbinstTool. Accordingly, the processor 110 may execute the first program to detect and extract the hidden area and hidden file created by FbinstTool.

프로세서(110)는 예컨대 컴퓨팅 장치를 구성하는 중앙처리장치(CPU)가 될 수 있고, 메모리(120)는 예컨대 디스크 장치와 같이 파일, 데이터, 프로그램, 소프트웨어 등을 저장하는 저장장치가 될 수 있다. 메모리(120)는 바람직하게는 컴퓨팅 장치에 내장될 수 있으며, 또한 외부에서 연결 및 연결해제도 가능하다.The processor 110 may be, for example, a central processing unit (CPU) that constitutes a computing device, and the memory 120 may be a storage device that stores files, data, programs, software, etc., such as a disk device. Memory 120 may preferably be embedded in the computing device, and may also be externally connected and disconnected.

도 2는 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성한 은닉 영역의 파일 시스템의 구조도이다.Figure 2 is a structural diagram of a file system of a hidden area created using FbinstTool according to an embodiment of the present invention.

FbinstTool를 사용하여 생성한 은닉 영역의 파일 시스템(200)은 기존의 FAT, NTFS 등의 시스템들과 같이 섹터(Sector)(512byte, 0x200)를 기준으로 데이터를 관리한다. 하지만, 은닉 영역을 생성 및 관리하기 위해 기존의 파일 시스템과는 다른 메타데이터 영역을 가진다.The file system 200 of the hidden area created using FbinstTool manages data based on sectors (512 bytes, 0x200) like existing FAT and NTFS systems. However, in order to create and manage the hidden area, it has a different metadata area than the existing file system.

도 2를 참조하면, FbinstTool을 사용하여 은닉 영역을 생성하면, 0번 섹터부터 63번 섹터까지 파티션 테이블 영역만 다른 64개의 MBR 영역(210)이 반복된다. 64번 섹터부터 67번 섹터까지는 MBR 영역(210)을 보조하는 SubMBR 영역(220)이 존재한다.Referring to FIG. 2, when a hidden area is created using FbinstTool, 64 MBR areas 210 differing only in the partition table area are repeated from sector 0 to sector 63. From sectors 64 to 67, there is a SubMBR area 220 that assists the MBR area 210.

그리고, SubMBR 영역(220)의 뒤로는 은닉 영역의 내부 파일들의 메타데이터를 저장하는 File_List 영역(230)과 은닉 영역의 파일들의 실제 데이터를 저장하는 File_Data 영역(240)이 존재한다. And, behind the SubMBR area 220, there is a File_List area 230 that stores metadata of internal files in the hidden area and a File_Data area 240 that stores actual data of files in the hidden area.

FbinstTool을 사용하면 File_Data 영역(240)에 두 종류의 은닉 영역, 즉 Primary 영역(241)과 Extended 영역(242)의 은닉 영역을 생성할 수 있다. 여기서, Primary 영역(241)은 필수적으로 생성되고 Extended 영역(242)은 사용자에 의해 선택적으로 생성될 수 있다. 만약, 사용자가 Extended 영역(242)를 생성하지 않으면 File_Data 영역(240)에는 필수적으로 생성되는 Primary 영역(241)만 존재할 수 있다. Using FbinstTool, you can create two types of hidden areas in the File_Data area (240): Primary area (241) and Extended area (242). Here, the primary area 241 is necessarily created and the extended area 242 can be selectively created by the user. If the user does not create the Extended area (242), only the Essentially created Primary area (241) can exist in the File_Data area (240).

본 발명의 장치(100)는 Primary 영역(241)과 Extended 영역(242)의 특징적인 정보를 사용하여 은닉된 영역 및 은닉된 파일을 탐지한 후, 은닉된 파일을 추출하고 삭제된 파일도 복구할 수 있다.The device 100 of the present invention detects the hidden area and hidden files using the characteristic information of the primary area 241 and the extended area 242, and then extracts the hidden files and recovers deleted files. You can.

도 3은 본 발명의 실시예에 따른 MBR 영역을 설명하는 도면이다.Figure 3 is a diagram explaining the MBR area according to an embodiment of the present invention.

도 3을 참조하면, FbinstTool을 사용하여 은닉 영역이 생성되면 0번 섹터부터 63번 섹터까지 64개의 MBR 영역(210)이 반복된다. 이러한 64개의 MBR 영역(210)은 파티션 테이블 영역만 다르고 구성되는 데이터를 모두 동일하다. Referring to FIG. 3, when a hidden area is created using FbinstTool, 64 MBR areas 210 are repeated from sector 0 to sector 63. These 64 MBR areas 210 differ only in the partition table areas, and the data they consist of is all the same.

도 3의 일례를 보면 MBR 영역(210)는 영역에 대한 정보를 포함한다. 예컨대, 0번 섹터의 바이트 오프셋(Byte Offset)과 이에 대한 정보가 포함되고, 또한 0번 섹터의 데이터를 포함한다. In the example of FIG. 3, the MBR area 210 includes information about the area. For example, it includes the byte offset of sector 0 and information about it, and also includes data of sector 0.

FbinstTool를 사용하여 생성된 MBR 영역(210)에는 0x1B4~0x1B7에 0x04 크기의 FbinstTool의 시그니처(signature)(0x46424246)가 존재한다. 이처럼 FbinstTool의 의해 은닉 영역이 생성되면 해당 위치에 FbinstTool의 시그니처가 반드시 존재한다. 따라서, 이러한 시그니처는 FbinstTool에 의해 은닉 영역이 생성되었다는 증거가 되는 것이다. In the MBR area 210 created using FbinstTool, there is a signature (0x46424246) of FbinstTool with a size of 0x04 at 0x1B4 to 0x1B7. Like this, when a hidden area is created by FbinstTool, the signature of FbinstTool must exist in that location. Therefore, this signature is evidence that the hidden area was created by FbinstTool.

도 3의 데이터 구조를 보면, FbinstTool에 의해 생성된 MBR 영역(210)에는 0번 섹터의 0x1B4~0x1B7에 FbinstTool의 시그니처(0x46424246)의 데이터가 반드시 존재하고, 그 데이터는 영문자 FBBF인 것으로 나타난다.Looking at the data structure of FIG. 3, in the MBR area 210 created by FbinstTool, data of FbinstTool's signature (0x46424246) must exist in 0x1B4 to 0x1B7 of sector 0, and the data appears to be English letters FBBF.

따라서, 본 발명에서 프로세서(110)는 메모리(120)에 저장된 제1 프로그램을 실행하여 MBR 영역(210)에 FbinstTool의 시그니처가 0x1B4~0x1B7에 존재하는지를 판단함으로써 FbinstTool에 의해 은닉 영역이 생성되었음을 알 수 있다. Therefore, in the present invention, the processor 110 executes the first program stored in the memory 120 to determine whether the signature of FbinstTool exists in 0x1B4 to 0x1B7 in the MBR area 210, thereby determining that the hidden area has been created by FbinstTool. there is.

이때, 추가적으로 또는 선택적으로, 프로세서(110)는 0번 섹터부터 63번 섹터까지 64개의 MBR 영역(210)이 반복되는지를 확인할 수도 있다. MBR 영역(210)이 반복되면 MBR 영역(210)에 FbinstTool의 시그니처의 존재 여부를 확인함으로써 은닉 영역의 존재에 대한 신뢰성을 더 높일 수 있다.At this time, additionally or alternatively, the processor 110 may check whether the 64 MBR areas 210 from sector 0 to sector 63 are repeated. If the MBR area 210 is repeated, reliability of the existence of the hidden area can be further increased by checking whether the signature of FbinstTool exists in the MBR area 210.

도 4는 본 발명의 실시예에 따른 SubMBR 영역을 설명하는 도면이다.Figure 4 is a diagram explaining the SubMBR area according to an embodiment of the present invention.

도 4를 참조하면, FbinstTool을 사용하여 은닉 영역이 생성될 때 64번 섹터부터 67번 섹터까지 SubMBR 영역(220)이 존재한다. 도 4의 일례를 보면 SubMBR 영역(220)은 해당 영역에 대한 정보를 포함한다. 일례로, 64번 섹터와 67번 섹터의 바이트 오프셋(Byte Offset)과 이에 대한 정보가 포함되고, 또한 64번 섹터와 67번 섹터의 데이터를 포함한다.Referring to FIG. 4, when a hidden area is created using FbinstTool, a SubMBR area 220 exists from sectors 64 to 67. In the example of FIG. 4, the SubMBR area 220 includes information about the corresponding area. For example, it includes byte offsets of sectors 64 and 67 and information about them, and also includes data of sectors 64 and 67.

SubMBR 영역(220)에서 0x8008~0x8009에는 File_List 영역(230)의 크기 정보가 있고, 0x800A~0x800B에는 File_Data 영역(240)의 Primary 영역(241)의 크기 정보가 있고, 0x800C~0x800F에는 File_Data 영역(240)의 Extended 영역(242)의 크기 정보가 있다. 또한, SubMBR 영역(220)의 0x8004~0x8005에는 Fbinst_version 정보, 즉 FbinstTool의 버전 정보가 있다. FbinstTool의 버전 정보는 FbinstTool의 특성을 파악하는데 있어서 중요한 정보가 될 수 있다.In the SubMBR area (220), 0x8008 to 0x8009 contain size information of the File_List area (230), 0x800A to 0x800B contain size information of the Primary area (241) of the File_Data area (240), and 0x800C to 0x800F contain information on the size of the File_Data area (240). ) There is information on the size of the extended area (242). Additionally, 0x8004 to 0x8005 of the SubMBR area 220 contains Fbinst_version information, that is, version information of FbinstTool. The version information of FbinstTool can be important information in understanding the characteristics of FbinstTool.

따라서, 본 발명에서 프로세서(110)는 메모리(120)에 저장된 제1 프로그램을 실행하여 파일 시스템(200)에서 SubMBR 영역(220)을 추출하여 은닉 영역에 저장된 파일의 메타데이터가 존재하는 File_List 영역(230)의 크기 정보와 File_Data 영역(240)의 크기 정보를 획득할 수 있다. 이러한 각 영역의 크기 정보는 각 영역의 위치 정보가 될 수 있다. Therefore, in the present invention, the processor 110 executes the first program stored in the memory 120 to extract the SubMBR area 220 from the file system 200 and extracts the File_List area (File_List area) where metadata of the file stored in the hidden area is present. 230) and size information of the File_Data area 240 can be obtained. The size information of each area can be the location information of each area.

도 5는 본 발명의 실시예에 따른 File_List 영역을 설명하는 도면이다.Figure 5 is a diagram explaining the File_List area according to an embodiment of the present invention.

도 5를 참조하면, FbinstTool을 사용하여 은닉 영역이 생성될 때 파일 시스템(200)의 구조에서 68번 섹터에는 File_List 영역(230)이 존재한다. 이러한 File_List 영역(230)에는 은닉 영역에 저장된 은닉 파일의 메타데이터가 저장된다.Referring to FIG. 5, when a hidden area is created using FbinstTool, a File_List area 230 exists in sector 68 in the structure of the file system 200. In this File_List area 230, metadata of hidden files stored in the hidden area are stored.

도 5에는 일례로 상측에는 File_List 영역(230)의 정보가 도시되어 있고, 하측에는 File_List 영역(230)의 데이터가 도시되어 있다. File_List 영역(230)의 데이터를 보면, 일례로 2개의 txt 파일, File01.txt와 File02.txt가 차례로 저장되어 있는 것으로 나타나 있다. In Figure 5, for example, information of the File_List area 230 is shown on the upper side, and data of the File_List area 230 is shown on the lower side. Looking at the data in the File_List area 230, for example, it appears that two txt files, File01.txt and File02.txt, are stored in order.

이때, File_List 영역(230)의 메타데이터는 은닉 파일에 대한 정보들을 포함한다. 즉, 은닉 파일들의 위치, 크기, 저장시간, 수정시간 등의 정보를 포함한다. 도 5에서는 예컨대 File01.txt는 Primay 영역(241)에 저장되어 있고, File02.txt는 Extended 영역(242)에 저장되어 있음이 나타나 있다. At this time, metadata of the File_List area 230 includes information about hidden files. That is, it includes information such as location, size, storage time, and modification time of hidden files. Figure 5 shows, for example, that File01.txt is stored in the Primay area (241) and File02.txt is stored in the Extended area (242).

이와 같이, 본 발명에서는 프로세서(110)는 메모리(120)에 저장된 제1 프로그램을 실행하여 파일 시스템(200)의 File_List 영역(230)에서 은닉된 파일의 메타데이터를 확인하고, 이러한 메타데이터를 통해 은닉된 파일을 확인하도록 한다.As such, in the present invention, the processor 110 executes the first program stored in the memory 120 to check the metadata of the file hidden in the File_List area 230 of the file system 200, and through this metadata Be sure to check hidden files.

도 6은 본 발명의 실시예에 따른 File_Data 영역을 설명하는 도면이다.Figure 6 is a diagram explaining the File_Data area according to an embodiment of the present invention.

도 6을 참조하면, FbinstTool을 사용하여 은닉 영역이 생성될 때 파일 시스템(200)의 구조에서 특정 섹터에는 File_Data 영역(240)이 존재한다. 이러한 File_Data 영역(240)에는 은닉 영역에 저장된 은닉 파일의 실제 데이터가 저장된다. 실제 데이터는 Primary 영역(241)에 저장될 수 있고, Primary 영역(241)과 Extended 영역(242)에 저장될 수도 있다.Referring to FIG. 6, when a hidden area is created using FbinstTool, a File_Data area 240 exists in a specific sector in the structure of the file system 200. In this File_Data area 240, the actual data of the hidden file stored in the hidden area is stored. Actual data may be stored in the primary area 241, and may also be stored in the primary area 241 and extended area 242.

도 6에는 일례로 967번 섹터에 File_Data 영역(240)이 존재하는 것으로 예시되어 있다. Primary 영역(241)에는 967번 섹터 중 첫번째 섹터에 맨 뒤쪽의 2 Byte 크기의 섹터 번호를 제외한 510 Byte의 크기의 데이터가 저장될 수 있고, Extended 영역(242)에는 첫번째 섹터에 512 Byte의 데이터가 저장될 수 있음을 알 수 있다.In Figure 6, for example, it is shown that the File_Data area 240 exists in sector 967. In the primary area 241, data of 510 bytes can be stored in the first sector of sectors 967, excluding the last 2 bytes of the sector number, and in the extended area 242, 512 bytes of data can be stored in the first sector. You can see that it can be saved.

그리고, 도 6에는 일례로 File01.txt이 파일이 저장되어 있는 것을 예시하고 있고, 파일의 내용은 "This is File1This is File1This is File1"임이 예시되어 있다.And, Figure 6 illustrates that the file File01.txt is stored as an example, and the content of the file is "This is File1This is File1This is File1."

이와 같이, 본 발명에서는 프로세서(110)는 메모리(120)에 저장된 제1 프로그램을 실행하여 파일 시스템(200)의 File_Data 영역(240)에 저장된 은닉 파일을 확인하고, 이를 추출할 수 있다.As such, in the present invention, the processor 110 can execute the first program stored in the memory 120 to check the hidden file stored in the File_Data area 240 of the file system 200 and extract it.

한편, 본 발명에 따른 메모리(120)에 저장된 복수개의 프로그램 중 다른 하나는 FbinstTool을 사용하여 생성된 은닉 영역에서 삭제된 은닉 파일을 탐지하고 이를 추출하는 제2 프로그램이 될 수 있다. 이에, 프로세서(110)는 제2 프로그램을 실행하여 은닉 영역에서 삭제된 은닉 파일을 탐지하고 추출할 수 있다.Meanwhile, another one of the plurality of programs stored in the memory 120 according to the present invention may be a second program that detects hidden files deleted from the hidden area created using FbinstTool and extracts them. Accordingly, the processor 110 may execute the second program to detect and extract the hidden file deleted from the hidden area.

FbinstTool로 생성된 은닉 영역에서 은닉 파일이 삭제되면 그 삭제의 흔적으로서 슬랙(Slcak) 영역이 존재한다. 구체적으로, File_Data 영역(240)에는 이전에 File_Data 영역(240)에 존재했었다가 삭제된 파일의 흔적인 슬랙 영역이 존재하는 것이다.When a hidden file is deleted from the hidden area created with FbinstTool, a Slcak area exists as a trace of the deletion. Specifically, there is a slack area in the File_Data area 240, which is a trace of a file that previously existed in the File_Data area 240 and was deleted.

본 발명의 다른 실시예에서 프로세서(110)는 메모리(120)에 저장된 제2 프로그램을 실행하여 File_Data 영역(240)에서 슬랙 영역을 확인하여, 그 슬랙 영역에 존재했다가 삭제되었던 파일의 데이터를 복구하는 카빙작업을 수행할 수 있다.In another embodiment of the present invention, the processor 110 executes the second program stored in the memory 120 to check the slack area in the File_Data area 240 and recover the data of the file that was present in the slack area and then deleted. Carving work can be performed.

또한, File_Data 영역(240)에서 은닉 파일이 삭제되면, 삭제된 은틱 파일의 메타데이터는 File_List 영역(230)에서 0x00 값으로 초기화되는 제로라이징 과정이 진행된다. 그 이후에 제로라이징된 영역에는 삭제된 파일의 바로 뒤이어 존재하는 다른 은닉 파일의 메타데이터가 앞으로 이동되기 때문에 삭제된 파일의 메타데이터는 복구될 수 없을 수도 있다. 하지만, File_Data 영역(240)에 존재하는 실제 데이터는 삭제되지 않기 때문에, 이것을 복구함으로써 삭제된 데이터의 일부 또는 전부를 복구할 수 있다.Additionally, when a hidden file is deleted in the File_Data area 240, a zeroizing process is performed in which the metadata of the deleted hidden file is initialized to the value 0x00 in the File_List area 230. Since the metadata of other hidden files that immediately follow the deleted file is moved forward in the zeroized area, the metadata of the deleted file may not be recoverable. However, since the actual data existing in the File_Data area 240 is not deleted, some or all of the deleted data can be recovered by recovering this.

도 7은 본 발명의 실시예에 따른 FbinstTool을 사용하여 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법을 보인 흐름도이다.Figure 7 is a flowchart showing a method for detecting and extracting a hidden area and a hidden file created using FbinstTool according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 실시예에 따른 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법에서는 컴퓨팅 장치에서 프로세서(110)가 저장매체를 인식한다(S101). 저장매체가 인식되면 프로세서(110)는 메모리(120)에 저장된 제1 프로그램을 실행하여(S102), 저장매체의 MBR 영역(210)에 FbinstTool의 시그니처가 존재하는지를 판단한다(S103). 여기서, 프로세서(110)는 MBR 영역(210)의 0x1B4~0x1B7에 FbinstTool의 시그니처의 존재 유무를 확인한다. MBR 영역(210)에 FbinstTool의 시그니처가 존재하면 FbinstTool에 의해 생성된 은닉 영역이 존재하는 것으로 확인한다(104). Referring to FIG. 7, in the method for detecting and extracting a hidden area and a hidden file created by FbinstTool according to an embodiment of the present invention, the processor 110 in the computing device recognizes the storage medium (S101). When the storage medium is recognized, the processor 110 executes the first program stored in the memory 120 (S102) and determines whether the signature of FbinstTool exists in the MBR area 210 of the storage medium (S103). Here, the processor 110 checks whether the signature of FbinstTool exists in 0x1B4 to 0x1B7 of the MBR area 210. If the signature of FbinstTool exists in the MBR area (210), it is confirmed that a hidden area created by FbinstTool exists (104).

여기서, FbinstTool에 의해 생성된 은닉 영역이 존재하는지를 보다 확실하게 하기 위해 프로세서는(110)는 선택적으로 추가 동작을 수행할 수도 있다. 즉, 프로세서(110)는 MBR 영역(210)에 FbinstTool의 시그니처가 존재하는 것으로 판단하면 파일 시스템의 0번 섹터부터 63번 섹터까지 64개의 MBR 영역(210)이 반복하여 존재하는지를 추가로 판단할 수 있다. MBR 영역(210)이 반복하여 존재하면 FbinstTool에 의해 생성된 은닉 영역이 존재하는 것으로 확인할 수 있다. 이렇게 FbinstTool의 시그니처의 존재 유무에 대한 확인에 더하여, MBR 영역(210)의 반복적인 존재 여부를 확인함으로써 FbinstTool에 의한 은닉 영역의 확인에 대한 신뢰성을 더 높일 수 있다.Here, the processor 110 may optionally perform an additional operation to make it more certain whether the hidden area created by FbinstTool exists. That is, if the processor 110 determines that the signature of FbinstTool exists in the MBR area 210, it can further determine whether 64 MBR areas 210 repeatedly exist from sector 0 to sector 63 of the file system. there is. If the MBR area 210 exists repeatedly, it can be confirmed that a hidden area created by FbinstTool exists. In addition to confirming the presence or absence of the FbinstTool signature, the reliability of confirmation of the hidden area by FbinstTool can be further increased by checking the repetitive presence of the MBR area 210.

이후에, 프로세서(110)는 64번 섹터에서 67번 섹터까지의 SubMBR 영역(220)에서 은닉 영역에 저장된 은닉 파일의 메타데이터가 존재하는 File_List 영역(230)과 은닉 파일의 실제 데이터가 존재하는 File_Data 영역(240)의 크기 정보를 획득한다(S105). Afterwards, the processor 110 selects a File_List area 230 in which the metadata of the hidden file stored in the hidden area exists in the SubMBR area 220 from sectors 64 to 67, and a File_Data area in which the actual data of the hidden file exists. Size information of the area 240 is obtained (S105).

이러한 File_List 영역(230)과 File_Data 영역(240)은 파일 시스템의 구조에서 SubMBR 영역(220)의 바로 뒤에 위치하므로 File_List 영역(230)과 File_Data 영역(240)의 크기 정보를 이용하면 File_List 영역(230)과 File_Data 영역(240)의 위치를 알 수 있게 된다. 따라서 File_List 영역(230)과 File_Data 영역(240)의 크기 정보를 획득한다는 것은 File_List 영역(230)과 File_Data 영역(240)의 위치를 확인한다는 것이다.Since the File_List area 230 and File_Data area 240 are located immediately behind the SubMBR area 220 in the file system structure, using the size information of the File_List area 230 and File_Data area 240, the File_List area 230 and the location of the File_Data area 240 can be known. Therefore, obtaining size information of the File_List area 230 and File_Data area 240 means confirming the locations of the File_List area 230 and File_Data area 240.

이에, 프로세서(110)는 File_List 영역(230)과 File_Data 영역(240)의 위치를 확인하여 File_List 영역(230)에 은닉 파일의 메타데이터가 존재하는지를 먼저 판단한다(S106). File_List 영역(230)에 은닉 파일의 메타데이터가 존재하면, 프로세서(110)는 은닉 파일의 메타데이터를 추출하고(S107), 프로세서(110)는 상기 추출된 메타데이터를 이용하여 File_Data 영역(240)에서 은닉 파일의 데이터를 추출한다(S108).Accordingly, the processor 110 checks the positions of the File_List area 230 and the File_Data area 240 and first determines whether metadata of the hidden file exists in the File_List area 230 (S106). If metadata of the hidden file exists in the File_List area 230, the processor 110 extracts the metadata of the hidden file (S107), and the processor 110 uses the extracted metadata to store the metadata in the File_Data area 240. Extract data from hidden files (S108).

이때, File_List 영역(230)에 은닉 파일의 메타데이터가 존재하지 않다고 하더라도 File_Data 영역(240)에 은닉 파일의 데이터가 존재할 수 있다. 따라서, 상기 S106 단계에서, File_List 영역(230)에 은닉 파일의 메타데이터가 존재하지 않더라도 프로세서(110)는 File_Data 영역(240)에 은닉 파일의 데이터가 존재하는지를 판단한다(S109). File_Data 영역(240)에 은닉 파일의 데이터가 존재하면, 프로세서(110)는 해당 데이터를 추출한다(S108).At this time, even if metadata of the hidden file does not exist in the File_List area 230, data of the hidden file may exist in the File_Data area 240. Therefore, in step S106, even if metadata of the hidden file does not exist in the File_List area 230, the processor 110 determines whether data of the hidden file exists in the File_Data area 240 (S109). If data of a hidden file exists in the File_Data area 240, the processor 110 extracts the data (S108).

한편, 본 발명의 다른 실시예에서는 선택적으로 또는 추가적으로 은닉 파일의 데이터가 삭제되더라도 이를 복구하여 추출할 수도 있다. 예컨대, File_Data 영역(240)에서 은닉 파일의 데이터를 추출한 후(S108 또는 S110), 또는 File_Data 영역(240)에 은닉 파일의 데이터가 존재하지 않는 경우(S109), 혹시 은닉 파일의 데이터가 삭제되었는지를 확인하고 삭제되었다면 이를 복구하여 추출하도록 하는 것이다.Meanwhile, in another embodiment of the present invention, even if the data of the hidden file is deleted selectively or additionally, it can be recovered and extracted. For example, after extracting the data of the hidden file from the File_Data area 240 (S108 or S110), or if the data of the hidden file does not exist in the File_Data area 240 (S109), it is necessary to check whether the data of the hidden file has been deleted. If it has been confirmed and deleted, it can be restored and extracted.

도 8은 본 발명의 다른 실시예에서 File_Data 영역에서 삭제된 은닉 파일의 데이터를 복구하여 추출하는 과정을 보인 흐름도이다.Figure 8 is a flowchart showing the process of recovering and extracting data of a hidden file deleted from the File_Data area in another embodiment of the present invention.

도 8을 참조하면, 프로세서(110)는 File_Data 영역(240)에 미할당 영역 또는 슬랙(slack) 영역이 존재하는지를 판단한다(S201). File_Data 영역(240)의 미할당 영역은 데이터의 저장을 위해 할당하는 영역이 아니라 데이터가 저장되지 않아 아직 할당되지 않은 영역을 의미하고, 슬랙(slcak) 영역은 이전에 저장되었다고 삭제된 흔적이 존재하는 영역을 의미한다. 데이터가 삭제되면 미할당 영역으로 존재할 수도 있고, 또는 슬랙 영역으로 존재할 수도 있다.Referring to FIG. 8, the processor 110 determines whether an unallocated area or slack area exists in the File_Data area 240 (S201). The unallocated area of the File_Data area 240 is not an area allocated for data storage, but an area that has not yet been allocated because data has not been stored, and the slack area is an area that has traces of being previously saved and deleted. It means area. When data is deleted, it may exist as an unallocated area or as a slack area.

이에, 프로세서(110)는 File_Data 영역(240)에 미할당 영역 또는 슬랙 영역이 존재하는 것으로 판단되면 상기 미할당 영역 또는 슬랙 영역을 추출하고(S202), 상기 추출된 미할당 영역 또는 슬랙 영역에서 삭제된 은닉 파일의 흔적을 이용하여 삭제된 은닉 파일의 데이터를 복구하는 카빙 작업을 수행한다(S203). 그리고 복구된 데이터를 추출한다(S204).Accordingly, if it is determined that an unallocated area or slack area exists in the File_Data area 240, the processor 110 extracts the unallocated area or slack area (S202) and deletes it from the extracted unallocated area or slack area. A carving operation is performed to recover the data of the deleted hidden file using traces of the hidden file (S203). Then, the recovered data is extracted (S204).

은닉 파일의 데이터가 삭제되면 File_List 영역(230)에서 삭제된 파일의 메타데이터는 0x00 값으로 초기화하는 제로라이징이 된다. 그 후에 제로라이징된 영역에 뒤에 존재하는 다른 은닉된 파일의 메타데이터가 앞으로 이동되기 때문에 삭제된 파일의 메타데이터 정보는 복구할 수 없다. 하지만 File_Data 영역에 존재하는 실제 데이터는 삭제되지 않기 때문에, 이것을 복구함으로써 삭제된 데이터의 일부 또는 전부를 복구할 수 있는 것이다.When the data of the hidden file is deleted, the metadata of the deleted file in the File_List area 230 is zeroized and initialized to the value 0x00. Afterwards, the metadata of other hidden files that exist behind the zeroized area are moved to the front, so the metadata information of the deleted file cannot be recovered. However, since the actual data existing in the File_Data area is not deleted, some or all of the deleted data can be recovered by recovering this.

이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시례들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시례에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely an illustrative explanation of the technical idea of the present invention, and various modifications and variations will be possible to those skilled in the art without departing from the essential characteristics of the present invention. Accordingly, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention, but rather to explain it, and the scope of the technical idea of the present invention is not limited by these examples. The scope of protection of the present invention should be interpreted in accordance with the claims below, and all technical ideas within the equivalent scope should be construed as being included in the scope of rights of the present invention.

110 : 프로세서 120 : 메모리
210 : MBR 영역 220 : SubMBR 영역
230 : File_List 영역 240 : File_Data 영역110: Processor 120: Memory
210: MBR area 220: SubMBR area
230: File_List area 240: File_Data area

Claims (12)

저장매체의 MBR 영역에 FbinstTool의 시그니처를 확인하는 확인단계;
상기 시그니처가 확인되면 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하는 획득단계;
상기 File_List 영역에 은닉 파일의 메타데이터의 존재 유무를 판단하는 판단단계 ;
상기 메타데이터가 존재하면 상기 메타데이터를 추출하는 제1추출단계; 및
상기 추출된 메타데이터를 이용하여 상기 File_Data 영역에서 상기 은닉 파일의 데이터를 추출하는 제2추출단계를 포함하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.Verification step of checking the signature of FbinstTool in the MBR area of the storage medium;
An acquisition step of obtaining location information of the File_List area and File_Data area in the SubMBR area when the signature is confirmed;
A determination step of determining whether metadata of a hidden file exists in the File_List area;
A first extraction step of extracting the metadata if the metadata exists; and
A method for detecting and extracting a hidden area and a hidden file created by FbinstTool, including a second extraction step of extracting data of the hidden file from the File_Data area using the extracted metadata. 청구항 1에 있어서, 상기 판단단계 이후에,
상기 File_List 영역에 상기 은닉 파일의 메타데이터가 존재하지 않으면, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하여 존재하면 상기 은닉 파일의 데이터를 추출하는 제3추출단계를 더 포함하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 1, after the determination step,
If the metadata of the hidden file does not exist in the File_List area, FbinstTool further includes a third extraction step of determining whether data of the hidden file exists in the File_Data area and extracting the data of the hidden file if it exists. Methods for detection and extraction of created hidden areas and hidden files. 청구항 1 또는 2에 있어서, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하거나, 상기 제2추출단계 또는 제3추출단계 이후에,
상기 File_Data 영역에 미할당된 영역 또는 슬랙 영역이 존재하는지를 판단하는 단계;
상기 미할당된 영역 또는 슬랙 영역이 존재하면 상기 미할당된 영역 또는 슬랙 영역을 추출하고 상기 추출된 영역에서 삭제된 은닉 파일의 데이터를 복구하는 단계; 및
상기 복구된 데이터를 추출하는 단계를 더 포함하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 1 or 2, when determining whether data of the hidden file exists in the File_Data area, or after the second extraction step or the third extraction step,
determining whether an unallocated area or slack area exists in the File_Data area;
If the unallocated area or slack area exists, extracting the unallocated area or slack area and recovering data of the hidden file deleted from the extracted area; and
A method for detecting and extracting a hidden area and a hidden file created by FbinstTool, further comprising extracting the recovered data. 청구항 1에 있어서, 상기 판단단계는,
상기 저장매체가 인식되면 상기 MBR 영역이 복수개인지 판단하는 단계를 더 포함하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 1, wherein the determination step is,
When the storage medium is recognized, the method of detecting and extracting a hidden area and a hidden file created by FbinstTool further includes the step of determining whether the MBR area is plural. 청구항 4에 있어서, 상기 판단단계는,
상기 MBR 영역은 0번 섹터부터 63번 섹터까지 64개의 MBR 영역이 반복되는지 판단하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 4, wherein the determination step is,
The MBR area is a method for detecting and extracting hidden areas and hidden files created by FbinstTool, which determines whether 64 MBR areas from sector 0 to sector 63 are repeated. 청구항 5에 있어서, 상기 판단단계는,
상기 각각의 섹터마다 상기 MBR 영역의 0x1B4~0x1B7에 상기 시그니처가 존재하는지를 판단하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 5, wherein the determination step is,
A method for detecting and extracting a hidden area and a hidden file created by FbinstTool for determining whether the signature exists in 0x1B4 to 0x1B7 of the MBR area for each sector. 청구항 1에 있어서, 상기 SubMBR 영역은 64번 섹터부터 67번 섹터까지 존재하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 방법.The method of claim 1, wherein the SubMBR area exists from sectors 64 to 67 and a hidden area created by FbinstTool and a method for detecting and extracting hidden files. FbinstTool에 의해 생성된 은닉 영역과 은닉 파일을 탐지 및 추출하기 위한 제1 프로그램을 저장하는 메모리;
상기 제1 프로그램을 실행하는 프로세서;를 포함하고,
상기 프로세서는,
상기 제1 프로그램을 실행하여 저장매체의 MBR 영역에 FbinstTool의 시그니처를 확인하고 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하고, 상기 File_List 영역에서 은닉 파일의 메타데이터를 추출하고, 상기 메타데이터를 이용하여 상기 File_Data 영역에서 상기 은닉 파일의 데이터를 추출하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치.a memory storing a first program for detecting and extracting hidden areas and hidden files created by FbinstTool;
A processor executing the first program;
The processor,
Execute the first program to check the signature of FbinstTool in the MBR area of the storage medium, obtain location information of the File_List area and File_Data area in the SubMBR area, extract metadata of the hidden file from the File_List area, and extract the metadata from the File_List area. A device for detecting and extracting hidden areas and hidden files created by FbinstTool, which extracts data of the hidden files from the File_Data area using. 청구항 8에 있어서, 상기 프로세서는,
상기 File_List 영역에 상기 은닉 파일의 메타데이터가 존재하지 않으면, 상기 File_Data 영역에 상기 은닉 파일의 데이터가 존재하는지를 판단하여 존재하면 상기 은닉 파일의 데이터를 추출하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치.The method of claim 8, wherein the processor:
If the metadata of the hidden file does not exist in the File_List area, the hidden area and hidden file created by FbinstTool determines whether data of the hidden file exists in the File_Data area and extracts the data of the hidden file if it exists. Detection and extraction devices. 청구항 8 또는 9에 있어서, 상기 프로세서는,
상기 File_Data 영역에 미할당된 영역 또는 슬랙 영역이 존재하면 상기 미할당된 영역 또는 슬랙 영역을 추출하고 상기 추출된 영역에서 삭제된 은닉 파일의 데이터를 복구하여 상기 복구된 데이터를 추출하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치.The method of claim 8 or 9, wherein the processor:
If an unallocated area or slack area exists in the File_Data area, it is generated by FbinstTool, which extracts the unallocated area or slack area, recovers the data of the hidden file deleted from the extracted area, and extracts the recovered data. A device for detecting and extracting hidden areas and hidden files. 청구항 8에 있어서, 상기 프로세서는,
상기 MBR 영역에 FbinstTool의 시그니처를 확인하고 상기 MBR 영역이 0번 섹터부터 63번 섹터까지 반복되면 SubMBR 영역에서 File_List 영역과 File_Data 영역의 위치정보를 획득하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치.The method of claim 8, wherein the processor:
Detection of hidden areas and hidden files created by FbinstTool by checking the signature of FbinstTool in the MBR area and obtaining location information of the File_List area and File_Data area in the SubMBR area when the MBR area is repeated from sector 0 to sector 63. and extraction device. 청구항 11에 있어서, 상기 프로세서는,
상기 각각의 섹터마다 상기 MBR 영역의 0x1B4~0x1B7에 상기 시그니처가 있는지를 확인하는 FbinstTool에 의해 생성된 은닉 영역과 은닉 파일의 탐지 및 추출 장치.The method of claim 11, wherein the processor:
A device for detecting and extracting hidden areas and hidden files created by FbinstTool that checks whether the signature is present in 0x1B4 to 0x1B7 of the MBR area for each sector.
KR1020220038262A 2022-03-28 2022-03-28 Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool KR102663598B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220038262A KR102663598B1 (en) 2022-03-28 2022-03-28 Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220038262A KR102663598B1 (en) 2022-03-28 2022-03-28 Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool

Publications (2)

Publication Number Publication Date
KR20230139661A true KR20230139661A (en) 2023-10-05
KR102663598B1 KR102663598B1 (en) 2024-05-03

Family

ID=88294822

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220038262A KR102663598B1 (en) 2022-03-28 2022-03-28 Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool

Country Status (1)

Country Link
KR (1) KR102663598B1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110021125A (en) * 2009-08-25 2011-03-04 한국전자통신연구원 Method and apparatus for recovering partition
KR101593184B1 (en) * 2014-09-16 2016-02-15 한국전자통신연구원 Method and apparatus for recovering partition based on file system metadata
KR20180084585A (en) 2017-01-17 2018-07-25 인제대학교 산학협력단 Method and system for file hiding by storage location addressing
CN109618327A (en) * 2018-11-27 2019-04-12 Oppo(重庆)智能科技有限公司 A kind of method and apparatus of software adaptation, electronic equipment, readable storage medium storing program for executing
KR20210097294A (en) 2020-01-30 2021-08-09 주식회사 케이티 Data hiding method and apparatus thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110021125A (en) * 2009-08-25 2011-03-04 한국전자통신연구원 Method and apparatus for recovering partition
KR101593184B1 (en) * 2014-09-16 2016-02-15 한국전자통신연구원 Method and apparatus for recovering partition based on file system metadata
KR20180084585A (en) 2017-01-17 2018-07-25 인제대학교 산학협력단 Method and system for file hiding by storage location addressing
CN109618327A (en) * 2018-11-27 2019-04-12 Oppo(重庆)智能科技有限公司 A kind of method and apparatus of software adaptation, electronic equipment, readable storage medium storing program for executing
KR20210097294A (en) 2020-01-30 2021-08-09 주식회사 케이티 Data hiding method and apparatus thereof

Also Published As

Publication number Publication date
KR102663598B1 (en) 2024-05-03

Similar Documents

Publication Publication Date Title
Pal et al. The evolution of file carving
US10121004B2 (en) Apparatus and method for monitoring virtual machine based on hypervisor
US8650229B2 (en) System and method for removing master file table ($MFT) file record segments (FRS)
US20050144501A1 (en) Method for recovering data in EXT2 file system, and computer-readable storage medium recorded with data-recovery program
KR101727860B1 (en) Recovery apparatus and method of document file
KR101593184B1 (en) Method and apparatus for recovering partition based on file system metadata
JP7024720B2 (en) Malware analysis device, malware analysis method, and malware analysis program
CN111382126B (en) System and method for deleting file and preventing file recovery
Wahyudi et al. Virtual machine forensic analysis and recovery method for recovery and analysis digital evidence
CN103714269A (en) Virus identification method and device
CN111338889A (en) Evidence obtaining method, device, equipment and storage medium supporting multiple operating systems
KR102663598B1 (en) Apparatus and method for detecting and extracting hidden area and hidden files created using the FbinstTool
US10884873B2 (en) Method and apparatus for recovery of file system using metadata and data cluster
CN104794025A (en) Method for quick verification on storage device
Lessing et al. Live forensic acquisition as alternative to traditional forensic processes
Hasan et al. Overview on computer forensics tools
CN104407994A (en) Method and device for identifying storage equipment inserted into slots of computer
CN103699838A (en) Identification method and equipment of viruses
KR102663599B1 (en) Apparatus and method for detecting and extracting hidden area and hidden files created using the Bootice
US20090133124A1 (en) A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program
Prem et al. Disk memory forensics: Analysis of memory forensics frameworks flow
Guo et al. Data recovery function testing for digital forensic tools
Dorn et al. Analyzing the impact of a virtual machine on a host machine
Guo et al. A function oriented methodology to validate and verify forensic copy function of digital forensic tools
Singh et al. Working efficiency of the sleuth kit in forensic data recovery: a review

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant