표제지
목차
국문초록 8
ABSTRACT 10
제1장 서론 12
1.1. 연구배경 및 목적 12
1.2. 연구내용 및 범위 12
1.3. 기대효과 13
1.4. 논문구성 13
제2장 관련 연구 14
2.1. 저널 파일시스템 14
2.1.1. 저널 파일시스템 구조 15
2.2. HFS+ 16
2.2.1. HFS+ Volume 구조 16
2.3. NTFS 19
2.3.1. NTFS 저널 속성 19
2.4. Ext4 21
2.4.1. Ext4 Journal 블록 22
2.5. 디지털 포렌식 23
2.5.1. 디지털 증거 의의 23
2.5.2. 디지털 포렌식 증거 확보 기술 24
2.5.3. 국내 디지털 포렌식 법집행 환경 24
2.6. 기존 저널 파일 수집 도구 25
2.6.1. 기존 저널 파일 수집 도구 특징 25
2.6.2. 기존 저널 파일 수집 도구 한계 26
2.7. 저장장치 데이터 수집 방법 26
2.7.1. 디스크 복제 27
2.7.2. 디스크 복사 28
2.7.3. 디스크 이미징 28
제3장 HFS+ 저널 파일 수집기 구현 29
3.1. HPJC(HFS Plus Journal Collector) 29
3.1.2. HPJA_C의 구성 30
3.1.3. HPJC의 주요기능 31
3.1.4. HPJC의 수집절차 31
3.2. HPJC 구현 32
3.2.1. HPJA_C의 디스크 정보 추출 32
3.2.2. HPJA_C의 Volume Header 수집 33
3.2.3. HPJA_C의 저널 파일 수집 35
3.2.4. HPJC의 저널 파일 Transaction 정보 추출 37
제4장 HPJC 수집 파일 38
4.1. 수집 환경 38
4.2. Mac OS X 환경에서 수집 39
4.3. Windows 환경에서 수집 40
제5장 결론 41
참고문헌 42
[표 2-1] JFS2와 JFS 비교 14
[표 2-2] HFS와 HFS+ 비교 16
[표 2-3] $Mac 속성 저장 데이터 20
[표 2-4] $J 속성 저장 데이터 20
[표 2-5] Super Block 데이터 22
[표 3-1] HPJC 개발 환경 29
[표 4-1] HPJC 수집 환경 38
[그림 2-1] 저널 파일시스템 구조 15
[그림 2-2] HFS+ Volume Structure 17
[그림 2-3] NTFS $UsnJrnl 25
[그림 2-4] Encase EnScript 실행 화면 25
[그림 2-5] AHJP v1.02 실행 화면 26
[그림 2-6] Disk Unmount 실행 화면 27
[그림 2-7] Disk Dump 실행 화면 27
[그림 2-8] Disk Copy 실행 화면 28
[그림 3-1] HPJC 실행 화면 30
[그림 3-2] HPJA_C 시스템 구조도 30
[그림 3-3] HFS+ Journal 정보 수집 시퀀스 다이어그램 31
[그림 3-4] 디스크 정보 추출 함수 32
[그림 3-5] 디스크 정보 획득 33
[그림 3-6] Volume Header 수집 함수 34
[그림 3-7] HPJC Volume Header 파일 수집 34
[그림 3-8] Journal 수집 함수 35
[그림 3-9] HPJC 저널 파일 수집 35
[그림 3-10] 저널 파일 헤더 36
[그림 3-11] .journal 수집 후 각 Transaction을 파일로 수집하는 함수 37
[그림 4-1] Mac OS X 환경에서 수집 화면 39
[그림 4-2] Windows 환경에서 수집 화면 40