ESE 데이터베이스 내의 삭제된 레코드 복구 기법

Vol. 25, No. 5, pp. 1143-1152, 10월. 2015
10.13089/JKIISC.2015.25.5.1143, Full Text:
Keywords: ESE database analysis, ESE database format, ESE database forensic
Abstract

Extensible Storage Engine (ESE) 데이터베이스는 Microsoft가 개발한 데이터베이스로 Internet Explorer, Spartan과 같은 웹브라우저와 Windows Search, System Resource Usage Monitor와 같은 윈도우 시스템에서 주요하게 사용된다. 기존의 ESE 데이터베이스 뷰어는 잘못된 값을 출력할 수 있고 수집 환경과 파일의 상태에 따라 파일을 읽지 못하는 경우가 존재한다. 또한 삭제된 레코드 복구 도구는 일부 프로그램에 한정적이고 모든 테이블을 복구하지 못한다. 본 논문에서는 ESE 데이터베이스 구조를 분석하여 개별 데이터베이스가 아닌 범용적으로 적용할 수 있는 삭제된 레코드의 복구 기법을 제안하며 이를 도구로 구현하여 실험한 결과를 제시한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
J. Kim, J. Choi, S. Lee, "A recovery method for deleted records in the ESE Database," Journal of The Korea Institute of Information Security and Cryptology, vol. 25, no. 5, pp. 1143-1152, 2015. DOI: 10.13089/JKIISC.2015.25.5.1143.

[ACM Style]
Jeong-hyeon Kim, Jong-hyun Choi, and Sang-jin Lee. 2015. A recovery method for deleted records in the ESE Database. Journal of The Korea Institute of Information Security and Cryptology, 25, 5, (2015), 1143-1152. DOI: 10.13089/JKIISC.2015.25.5.1143.