표제지
논문개요
목차
제1장 서론 11
제2장 관련 연구 14
1. 디지털 증거 수집 14
2. Windows 구조 20
3. Windows 파일 시스템 21
3-1. FAT 22
3-2. NTFS 23
3-3. 파일 시스템 터널링 25
3-4. 파일 시간 정보 갱신의 지연 27
4. Windows 증거 수집 및 분석 28
4-1. 시스템 정보 분석 28
4-2. 사용자 정보 분석 37
제3장 시스템 구현 50
1. 시스템 구조 50
2. 시스템 구현 51
2-1. 시스템 정보 분석 51
2-2. 사용자 정보 분석 52
2-3. 타임라인 분석 62
제4장 도구 검증 및 결과 분석 65
1. 실험 환경 65
2. 증거 수집 67
3. 증거 분석 70
4. 기존 도구와의 비교 분석 76
제5장 결론 및 향후 연구 84
참고문헌 86
ABSTRACT 88
표 1. FAT 파일 시스템의 표현 가능한 비트 수(클러스터) 22
표 2. Chrome에 저장된 사용자 Password 해독 알고리즘 41
표 3. WordWheelQuery 텍스트 Decode 알고리즘 49
표 4. 타임라인 이벤트 할당 알고리즘 54
표 5. 디스크 직접 접근 파일 복사 알고리즘 57
표 6. BagMRU 데이터 클래스 59
표 7. BagMRU 분석 클래스 60
표 8. BagMRU 파싱 알고리즘 61
표 9. 실험에 사용한 도구 목록 66
표 10. 내부 프로세스 항목 70
표 11. E01 이미지 정보 77
표 12. 도구별 초기 프로세싱 시간 78
표 13. 한글 지원 확인 80
표 14. 증거 수집 프로세스를 통한 자동화 항목 82
표 15. 실험 도구 항목별 특징 83
그림 1. 디지털 포렌식 절차 15
그림 2. Encase 16
그림 3. FTK 17
그림 4. Windows 시장 점유율 20
그림 5. Windows NT System Architecture 20
그림 6. 파일 시스템 기본 구조 21
그림 7. FAT 파일 시스템에서 파일 읽기 23
그림 8. MFT Entry Header 구조 24
그림 9. 파일 시스템 터널링 예제 25
그림 10. 파일 시스템 터너링 캐시 편집 26
그림 11. 파일 시스템 접근 시간 변경 여부 27
그림 12. 시스템 기본 정보 레지스트리 29
그림 13. 타임존 정보 30
그림 14. 시스템 온/오프 현황 30
그림 15. TCP를 사용하는 프로세스 목록 31
그림 16. 무선랜 프로파일 32
그림 17. 프로그램 설치 내역 33
그림 18. 공유폴더 33
그림 19. 자동 실행 프로그램 내역 34
그림 20. 자동 실행 프로그램 35
그림 21. 외장형 저장 장치 목록 35
그림 22. 외장형 저장 장치의 레지스트리 정보 36
그림 23. setupapi.dev.log를 통한 외장형 저장장치 확인 36
그림 24. 최근 열어본 문서 37
그림 25. 사용자 계정 정보 38
그림 26. 세계 웹브라우저 점유율(2014년 4월 기준) 39
그림 27. 웹브라우저 사용 기록 40
그림 28. Chrome 브라우저 웹 사이트 접속 정보 41
그림 29. 웹브라우저별 웹사이트 접속 정보 42
그림 30. 비정상 종료 웹 접속 기록 43
그림 31. 포털 검색어 44
그림 32. 포털 검색어 추출 44
그림 33. 최근 열어본 문서 레지스트리 정보 45
그림 34. Jumplist 46
그림 35. Jumplist 파싱 결과 46
그림 36. 프리패치 파일 헤더 47
그림 37. WordWheelQuery 48
그림 38. 시스템 구조 50
그림 39. 시스템 정보 수집 52
그림 40. 사용자 계정 정보 52
그림 41. 사용자 계정별 요약 정보 53
그림 42. 사용자 계정별 데이터 조회 53
그림 43. 데이터 수집 절차 55
그림 44. 외장형 저장 장치 목록 56
그림 45. 블랙리스트 검출 56
그림 46. Shellbag Registry와 실제 폴더 사이의 링크 구조 58
그림 47. 타임라인 62
그림 48. 타임라인 조회 63
그림 49. 타임라인 이벤트 할당 64
그림 50. 파일 시간별 이벤트 선택 64
그림 51. 실험에 사용한 PC의 시스템 정보 66
그림 52. 디지털 증거 획득 절차 67
그림 53. 검색 결과 68
그림 53. 조사 대상 설정 69
그림 54. 증거 수집 모드에 따른 절차 69
그림 55. 요약 보고서 71
그림 56. 사용자 정보 분석 메인 화면 72
그림 57. 사용자 정보 상세 분석 72
그림 58. 스마트폰 연결 흔적 73
그림 59. 파일 분류 74
그림 60. 소유자별 파일 보유 현황 74
그림 60. 타임라인 분석(파일 정보) 75
그림 61. 도구별 초기 프로세싱 시간 78
그림 62. 외장형 저장 장치 분석 결과 79
그림 63. 외장형 저장장치 마지막 연결 시간 보정 80
그림 64. 개인정보 샘플 81
그림 65. 개인정보 추출 결과 비교 81