삭제되거나 손상된 이벤트 로그(EVTX) 파일 복구 기술에 대한 연구

Vol. 26, No. 2, pp. 387-396, 4월. 2016
10.13089/JKIISC.2016.26.2.387, Full Text:
Keywords: digital forensic, EVTX(Event Log), Carving, Chunk, Event Record, Recovery Techniques
Abstract

디지털 기기의 사용이 늘어나면서 저장매체에 남아있는 각종 디지털 정보를 분석하여 범죄 단서를 찾는 디지털 포렌식 기술이 나날이 발전하고 있다. 또한 디지털 포렌식 기술과 더불어 안티 포렌식 기술도 발전하고 있다. 안티 포렌식 기술 중 분석을 어렵게 할 목적으로 사용 흔적 삭제 도구를 이용하여 로그파일 또는 웹브라우저 흔적을 삭제하기도 한다. 만약 사이버 범죄 수사 시 삭제되거나 손상된 데이터가 수사진행에 중요한 단서가 될 수 있다면 삭제되거나 손상된 데이터에 대한 복구는 매우 중요하다. 현재까지 이벤트 로그를 이용하여 다른 파일이나 파일 시스템을 복구하는 방식에 대한 연구는 많이 진행되었으나 이벤트 로그 자체를 복구하는 방법에 대한 연구는 미흡하다. 본 논문에서는 삭제되거나 손상된 이벤트 로그(EVTX) 파일의 복구 알고리즘을 제안하고, 실험을 통해 제안한 알고리즘의 높은 복구율을 확인한다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
Y. Shin, J. Cheon, J. Kim, "Study on Recovery Techniques for the Deleted or Damaged Event Log(EVTX) Files," Journal of The Korea Institute of Information Security and Cryptology, vol. 26, no. 2, pp. 387-396, 2016. DOI: 10.13089/JKIISC.2016.26.2.387.

[ACM Style]
Yonghak Shin, Junyoung Cheon, and Jongsung Kim. 2016. Study on Recovery Techniques for the Deleted or Damaged Event Log(EVTX) Files. Journal of The Korea Institute of Information Security and Cryptology, 26, 2, (2016), 387-396. DOI: 10.13089/JKIISC.2016.26.2.387.