최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.21 no.2, 2011년, pp.71 - 82
Live data in physical memory can be acquired by live forensics but not by harddisk file-system analysis. Therefore, in case of forensic investigation, live forensics is widely used these days. But, existing live forensic methods, that use command line tools in live system, have many weaknesses; for ...
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
라이브 포렌식의 장점은? | 라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. | |
디지털 포렌식 방법을 이용한 디스크 분석의 한계점은 무엇인가? | 대부분의 경우 디지털 증거는 하드디스크나 USB 메모리에 저장되어 있는 비휘발성 데이터일 가능성이 크기 때문에, 디스크 분석만으로도 유효한 주요 증거를 찾을 수 있다. 하지만 이러한 분석 방법 하에서는 시스템의 전원을 차단하는 순간 중요한 휘발성 증거들을 잃는다[3]. | |
기존의 라이브 포렌식의 단점은? | 라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈커널 객체 구조 설명 및 분석 방법을 설명한다. |
R. Jones, "Safer Live Forensic Acquisition," University of Kent at Canterbury, http://www.cs.kent.ac.uk/pubs/ug/200 7/co620-projects/forensic/report.pdf
E. Kenneally, and C. Brown, "Risk Sensitive Digital Evidence Collection," Digital Investigation, Vol. 2, Issue 2, pp. 101-119, June 2005.
I. Sutherland, J. Evans, T. Tryfonas, and A. Blyth, "Acquiring Volatile Operating System Data Tools and Techniques," ACM SIGOPS Operating Systems Review, Vol. 42, Issue 3, pp. 65-73, April 2008.
M. Monty, "Live Forensics on a Windows System: Using Windows Forensic Toolchest," Jun 2006. http://www.foolmoon. net/security
B. Carrier, J. Grand, "A Hardware-based Memory Acquisition Procedure for Digital Investigations," Digital Investigation, Vol. 1, Issue 1, pp. 50-60, February 2004.
A. Boileau, "Hit By A Bus: Physical Access Attacks with Firewire.," RUXCON, Sydney, Australia, September 30-October 1, 2006.
Mantech's Memory DD, Mantech, http: //www.mantech.com/
MoonSols Windows Memory Toolkit, MoonSols, http://moonsols.com/component/ jdownloads/view.download/3/2
H. Carvey, Windows Forensic Analysis DVD Toolkit, Second Edition, Syngress, June 2009
A. Walters, "FATKit: Detecting Malicious Library Injection and Upping the "Anti"", July 2006.
B. D. Carrier and J. Grand, "A hardwarebased memory acquisition procedure for digital investigations," Digital Investigation, Vol. 1, No. 1, pp. 50-60, 2004.
MemParser, C. Betz, http://memparser. sourceforge.net/
PtFinder, A. Schuster, http://computer. forensikblog.de/files/ptfinder/
Volatility, Volatile Systems, https:// www.volatilesystems.com/default/volat ility
M.E. Russinovich and D.A. Solomon, Windows Internals, 5th Edition, Microsoft Press, June 2009.
S.M. Hejazia, C. Talhia and M. Debbabi, "Extraction of forensically sensitive information from windows physical memory," Digital Investigation, Vol. 6, Supplement 1, pp. S121-S131, September 2009.
M. Burdach. "Finding digital evidence in physical memory," http://forensic.seccure. net/pdf/mburdach physical memory forensics bh06.pdf, 2006.
A. Schuster, "The impact of Microsoft Windows pool allocation strategies on memory forensics," The Proceedings of the Eighth Annual DFRWS Conference, Vol. 5, Supplement 1, pp. S58-S64, September 2008.
S. Lee, A. Savoldi, S. Lee, and J. Lim, "Password Recovery Using an Evidence Collection Tool and Countermeasures," Intelligent Information Hiding and Multimedia Signal Processing, Vol. 2, pp. 97-102, November 2007.
R. Zhang, L. Wang, and S. Zhang, "Windows Memory Analysis Based on KPCR," Proceedings of the 2009 Fifth International Conference on Information Assurance and Security, Vol. 2, pp. 677- 680, August 2009.
D. Aumaitre, "A Little Journey inside Windows Memory," Journal in Computer Virology, Vol. 5, No. 2, pp. 105-177, January 2009.
A. Schuster, "Searching for processes and threads in Microsoft Windows memory dumps," Digital Investigation, Vol. 3, Supplement 1, pp. 10-16, September 2006.
B. Dolan-Gavitt, A. Srivastava, P. Traynor, and J. Giffin, "Robust Signatures for Kernel Data Structures," Proceedings of the 16th ACM conference on Computer and communications security, pp. 566- 577. 2009.
B. Blunden, The Rootkit Arsenal : Escape and Evasion in the Dark Corners of the System, Jones & Bartlett Publishers, May 2009.
ProcessLibrary.com, Uniblue, http://www. processlibrary.com/
FU Rootkit, http://rootkit.com/board_ project_fused.php?didproj12
Advanced Archive Password Recovery, Elcomsoft, http://www.elcomsoft.com/ archpr.html
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.