윈도우 시스템에서 디지털 포렌식 관점의 메모리 정보 수집 및 분석 방법에 관한 고찰

이석희; 김현상; 임종인; 이상진

윈도우 시스템에서 디지털 포렌식 관점의 메모리 정보 수집 및 분석 방법에 관한 고찰

Vol. 16, No. 1, pp. 87-96, 2월. 2006

10.13089/JKIISC.2006.16.1.87, Full Text:

Keywords: Computer Forensics, Virtual Memory, Pagefile
Abstract

본 논문에서는 RFC3227 문서[1]에 따른 일반적인 디지털 증거 수집 절차를 살펴보고 메모리 정보 수집에 대한 절차를 정립하였다. 또한 디지털 증거 수집 절차의 개선 사항으로 메모리 덤프 절차를 포함시키고 시스템 전체 메모리를 획득하는 방법을 제시하였다. 실 사용자들의 메모리를 덤프하고 가상 메모리 시스템의 페이지 파일을 수집하여 얼마나 많은 정보가 검출되는 지를 확인해 보았는데, 이 과정에서 핵심 보안정보인 사용자 ID와 패스워드가 페이지 파일의 절반 정도에서 검출되었으며 데이터복구를 통해 중요 정보를 획득할 수 있음을 확인하였다. 또한 각각에 대한 분석기법과 메모리 정보를 중심으로 하는 메모리 정보 획득 절차를 제시하였다.

Statistics

Show / Hide Statistics

Cite this article

[IEEE Style]

L. Seok-Hee, K. Hyun-Sang, L. JongIn, L. SangJin, "A Study of Memory Information Collection and Analysis in a view of Digital Forensic in Window System," Journal of The Korea Institute of Information Security and Cryptology, vol. 16, no. 1, pp. 87-96, 2006. DOI: 10.13089/JKIISC.2006.16.1.87.

[ACM Style]

Lee Seok-Hee, Kim Hyun-Sang, Lim JongIn, and Lee SangJin. 2006. A Study of Memory Information Collection and Analysis in a view of Digital Forensic in Window System. Journal of The Korea Institute of Information Security and Cryptology, 16, 1, (2006), 87-96. DOI: 10.13089/JKIISC.2006.16.1.87.