범죄자들은 수사기관의 추적을 어렵게 하기 위해 이미 확보한 다수의 경유지를 거치면서 공격을 시도하는 경우가 많다. 수사관들은 범죄자를 추적하고자 경유지 컴퓨터의 하드디스크 이미지 등 증거 수집을 완료한 뒤 범죄자가 사용하였던 원격접속 프로그램의 종류를 확인하고, 해당 원격접속 프로그램의 포렌식아티팩트를 찾아 범죄증거 및 추적단서들을 추출하는 과정을 거친다. 하지만 실무의 필요와는 달리 원격접속 프로그램별 포렌식 아티팩트에 대한 지식 및 관련연구가 부족하여 수사관들은 범죄자가 사용했던 원격접속 ...
범죄자들은 수사기관의 추적을 어렵게 하기 위해 이미 확보한 다수의 경유지를 거치면서 공격을 시도하는 경우가 많다. 수사관들은 범죄자를 추적하고자 경유지 컴퓨터의 하드디스크 이미지 등 증거 수집을 완료한 뒤 범죄자가 사용하였던 원격접속 프로그램의 종류를 확인하고, 해당 원격접속 프로그램의 포렌식아티팩트를 찾아 범죄증거 및 추적단서들을 추출하는 과정을 거친다. 하지만 실무의 필요와는 달리 원격접속 프로그램별 포렌식 아티팩트에 대한 지식 및 관련연구가 부족하여 수사관들은 범죄자가 사용했던 원격접속 프로그램 분석 경험이 있는 수사관에게 의존하거나 해당 원격접속 프로그램을 직접 설치한 후 클라이언트, 서버환경을 구성하여 원격접속 프로그램별 포렌식 아티팩트들이 로그파일에 저장되는지, 이벤트로그에 저장되는지, 만일 저장된다면 어느 경로에 저장되는지, 로그파일이 저장될 때 기준시간은 무엇인지, 접속자의 IP주소와 컴퓨터명을 확인하는 방법이 무엇인가에 대한 답을 찾고자 테스트 및 결과를 검증 하는데 적지 않은 시간과 노력이 소요된다. 이에 따라 본 연구에서는 자주 사용하는 원격접속 프로그램 9종을 선정한 후 실험을 통해 원격접속 프로그램별 포렌식 아티팩트를 확인하고 추출가능한 요소정리, 확인방법, 확인된 수사단서에 대한 활용방안에 대해서 소개하였다. 본 연구결과를 활용하여 수사관들은 윈도우 원격접속 프로그램 분석시 효과적으로 범죄사실의 증거를 추출하고 피의자 추적을 위한 단서를 획득할 수 있을 것이다.
범죄자들은 수사기관의 추적을 어렵게 하기 위해 이미 확보한 다수의 경유지를 거치면서 공격을 시도하는 경우가 많다. 수사관들은 범죄자를 추적하고자 경유지 컴퓨터의 하드디스크 이미지 등 증거 수집을 완료한 뒤 범죄자가 사용하였던 원격접속 프로그램의 종류를 확인하고, 해당 원격접속 프로그램의 포렌식 아티팩트를 찾아 범죄증거 및 추적단서들을 추출하는 과정을 거친다. 하지만 실무의 필요와는 달리 원격접속 프로그램별 포렌식 아티팩트에 대한 지식 및 관련연구가 부족하여 수사관들은 범죄자가 사용했던 원격접속 프로그램 분석 경험이 있는 수사관에게 의존하거나 해당 원격접속 프로그램을 직접 설치한 후 클라이언트, 서버환경을 구성하여 원격접속 프로그램별 포렌식 아티팩트들이 로그파일에 저장되는지, 이벤트로그에 저장되는지, 만일 저장된다면 어느 경로에 저장되는지, 로그파일이 저장될 때 기준시간은 무엇인지, 접속자의 IP주소와 컴퓨터명을 확인하는 방법이 무엇인가에 대한 답을 찾고자 테스트 및 결과를 검증 하는데 적지 않은 시간과 노력이 소요된다. 이에 따라 본 연구에서는 자주 사용하는 원격접속 프로그램 9종을 선정한 후 실험을 통해 원격접속 프로그램별 포렌식 아티팩트를 확인하고 추출가능한 요소정리, 확인방법, 확인된 수사단서에 대한 활용방안에 대해서 소개하였다. 본 연구결과를 활용하여 수사관들은 윈도우 원격접속 프로그램 분석시 효과적으로 범죄사실의 증거를 추출하고 피의자 추적을 위한 단서를 획득할 수 있을 것이다.
Criminals often try to attack through a number of intermediate points that have already been secured to make it difficult for them to keep track of the investigating agency. In order to track offenders, the investigators check the types of remote access programs used by criminals after collecting ev...
Criminals often try to attack through a number of intermediate points that have already been secured to make it difficult for them to keep track of the investigating agency. In order to track offenders, the investigators check the types of remote access programs used by criminals after collecting evidence such as the hard disk image of the stoppage computer, find forensic artifacts of the remote access program, and extract criminal evidence and trace clues. However, unlike the practical necessity, lack of knowledge and related research on forensic artifacts by remote access program, investigators depend on investigators who have experience analyzing remote access programs used by criminals, Configure the server environment to determine whether forensic artifacts per remote access program are stored in the log file, in the event log, if it is stored, in which path, when the log file is stored, It takes a lot of time and effort to test and verify the results to find out how to identify the computer name. In this study, we have selected nine kinds of frequently used remote access programs, and then through experiments, we can find out how to use criminal evidence and traceable clues, . Using the results of this study, investigators can effectively extract evidence of crime facts and obtain clues to track suspects when analyzing Windows remote access programs.
Criminals often try to attack through a number of intermediate points that have already been secured to make it difficult for them to keep track of the investigating agency. In order to track offenders, the investigators check the types of remote access programs used by criminals after collecting evidence such as the hard disk image of the stoppage computer, find forensic artifacts of the remote access program, and extract criminal evidence and trace clues. However, unlike the practical necessity, lack of knowledge and related research on forensic artifacts by remote access program, investigators depend on investigators who have experience analyzing remote access programs used by criminals, Configure the server environment to determine whether forensic artifacts per remote access program are stored in the log file, in the event log, if it is stored, in which path, when the log file is stored, It takes a lot of time and effort to test and verify the results to find out how to identify the computer name. In this study, we have selected nine kinds of frequently used remote access programs, and then through experiments, we can find out how to use criminal evidence and traceable clues, . Using the results of this study, investigators can effectively extract evidence of crime facts and obtain clues to track suspects when analyzing Windows remote access programs.
주제어
#원격접속 프로그램 포렌식 아티팩트 RemoteAccess Teamviewer Ammyy VNC Radmin Logmein
학위논문 정보
저자
하경수
학위수여기관
연세대학교 정보대학원
학위구분
국내석사
학과
디지털포렌식
지도교수
권태경
발행연도
2018
총페이지
vii, 37p
키워드
원격접속 프로그램 포렌식 아티팩트 RemoteAccess Teamviewer Ammyy VNC Radmin Logmein
※ AI-Helper는 부적절한 답변을 할 수 있습니다.