박보라, 이상진,

Vol. 18, No. 4, pp. 175-186, 8월. 2008
10.13089/JKIISC.2008.18.4.175, Full Text:
Keywords: data fragment, compressed data recovery
Abstract

컴퓨터 포렌식 관점에서 디스크의 비할당 영역(unallocated space)에 존재하는 데이터를 분석하는 것은 삭제된 데이터를 조사할 수 있다는 점에서 의미가 있다. 하지만 대부분의 경우에 비할당 영역에 존재하는 데이터는 응용 프로그램으로 읽을 수 있는 완전한 파일의 형태가 아닌 단편화된 파편(Fragment)으로 존재하며 이는 암호화되거나 압축된 형식으로 존재하기도 한다. 특히 데이터의 일부만 남아있고 나머지는 다른 데이터로 덮여 쓰인 상태의 데이터 파편을 분석하는 것은 매우 어려운 일이며, 특히 존재하는 데이터 파편이 압축되거나 암호화된 경우에는 데이터가 랜덤(Random)한 특성을 가지기 때문에 통계 분석이나 시그니처 분석과 같은 기존의 데이터 파편 분석 방법만으로는 의미 있는 정보를 획득할 수 없게 된다. 따라서 파일 파편의 압축 및 암호화 여부를 판단하는 선 처리 작업이 필요하며 압축된 파편은 압축 해제를 시도해야 한다. 압축 해제로서 획득한 평문 데이터 파편은 기존에 제시된 데이터 파편 분석 방식으로 분석할 수 있다. 본 논문에서는 컴퓨터 포렌식 수사 시 비할당 영역에 존재하는 파일 파편의 분석 기술에 대해 서술한다.

Statistics
Cite this article