표제지
목차
약어표 10
논문요약 12
제1장 서론 13
제2장 디지털 포렌식의 이론적 고찰 15
제1절 디지털 포렌식 개요 15
1. 디지털 증거의 특징 16
2. 디지털 포렌식 유형 18
3. 디지털 포렌식 수사모델 22
제2절 모바일 포렌식의 개요 24
1. 모바일 포렌식 수사 모델 25
2. 모바일 데이터 증거 추출 방법 26
제3절 모바일 인스턴트 메신저 개요 32
1. 모바일 인스턴트 메신저 현황 32
2. 모바일 인스턴트 메신저 특징 34
제3장 모바일 메신저 아트펙트 분석 36
제1절 메신저 포렌식 선행연구 고찰 36
제2절 메신저 아트펙트 분석 37
제4장 시나리오를 통한 메신저 분석 결과 58
제1절 삭제된 메시지 분석 59
제2절 삭제 행위에 따른 모바일 메신저 포렌식 결과 비교 72
제5장 결론 74
참고문헌 76
ABSTRACT 78
[표 2-1] 디지털 포렌식의 유형 22
[표 2-2] Native Content Provider 클래스의 Static Field URI 30
[표 2-3] 메신저 앱 사용자 현황(2018년 1월 기준) 33
[표 3-1] Telegram 데이터 저장 형식 37
[표 3-2] Cache4.db 내 'users' table 구조 38
[표 3-3] Cache4.db 내 'messages' table 구조 38
[표 3-4] Cache4.db 내 'media_v2' table 구조 40
[표 3-5] Kakaotalk 데이터 저장 형식 41
[표 3-6] KakaoTalk2. db 내 'friends' table 구조 42
[표 3-7] KakaoTalk.db 내 'chat_room' table 구조 43
[표 3-8] KakaoTalk.db 내 'chat_logs' table 구조 44
[표 3-9] LINE 데이터 저장 형식 46
[표 3-10] naver_line 'contacts' table 구조 46
[표 3-11] naver_line 내 'chat' table 구조 47
[표 3-12] naver_line 내 'chat_member' table 구조 47
[표 3-13] naver_line 내 'chat_history' table 구조 48
[표 3-14] naver_line 내 'chat_history' table 구조 49
[표 3-15] WhatsApp 데이터 저장 형식 50
[표 3-16] wa.db 내 'contacts' table 구조 51
[표 3-17] msgstore.db 내 'chat_list' table 구조 51
[표 3-18] msgstore.db 내 'group_participants' table 구조 52
[표 3-19] msgstore.db 내 'messages' table 구조 53
[표 3-20] Facebook Messenger 데이터 저장 형식 54
[표 3-21] threads_db2 내 'thread-users' table 구조 55
[표 3-22] threads_db2 내 'threads' table 구조 55
[표 3-23] threads_db2 내 'thread_participants' table 구조 55
[표 3-24] threads_db2 내 'messages' table 구조 56
[표 3-25] call_logs_db_[user_id] 내 'userjable' table 구조 57
[표 4-1] 삭제 메시지 복원을 위한 획득 대상 파일 목록 72
[표 4-2] 메신저 앱 메시지 복원 가능여부 비교 73
[그림 2-1] 디지털 증거 획득 과정 23
[그림 2-2] 연도별 무선통신 가입자 통계 24
[그림 2-3] 휴대폰 수집(압수) 절차 25
[그림 2-4] 휴대폰 시스템 아키텍처 26
[그림 2-5] JTAG DEBUGGER 28
[그림 2-6] 분리된 메모리 칩 29
[그림 3-1] Telegram 메시지 구조 39
[그림 3-2] KakaoTalk 메시지 구조 45
[그림 3-3] LINE 메시지 구조 48
[그림 3-4] 'chat-history', 'call-history' 테이블 49
[그림 3-5] WhatsApp 구조 53
[그림 3-6] Facebook messenger 구조 56
[그림 4-1] Leaf Page 헤더 구조 60
[그림 4-2] 메시지 삭제 시 Leaf Page 헤더 변화 60
[그림 4-3] KakaoTalk 메시지 삭제 전 상태 61
[그림 4-4] KakaoTalk 메시지 삭제 후 상태 62
[그림 4-5] MD-RED에서 'KakaoTalk.db-journal' 내 'chat_logs' 분석 63
[그림 4-6] LINE 메시지 삭제 전 메시지 상태 64
[그림 4-7] LINE 메시지 삭제 후 메시지 상태 64
[그림 4-8] 메시지 삭제 후 SQLite에서 확인한... 64
[그림 4-9] LINE 채팅방 퇴장 전 메시지 상태 65
[그림 4-10] LINE 채팅방 퇴장 후 메시지 상태 65
[그림 4-11] WhatsApp 이벤트 로그 파일 66
[그림 4-12] 암호화된 백업 채팅 파일 목록 66
[그림 4-13] 백업 messages 테이블 비교 목록 67
[그림 4-14] WhatsApp 단일 메시지 삭제 흔적 로그 68
[그림 4-15] WhatsApp 다중메시지 삭제 흔적 로그 68
[그림 4-16] WhatsApp 채팅방 삭제 시 흔적 로그 69
[그림 4-17] 삭제된 메시지 추적 69
[그림 4-18] Encase8에서 비할당 영역 검색 70
[그림 4-19] 삭제된 애플리케이션 확인 71
[그림 4-20] 디바이스 초기화 시 생성된 로그파일 72