$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

안드로이드 운영체제의 Ext4 파일 시스템에서 삭제 파일 카빙 기법
File Carving for Ext4 File System on Android OS 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.23 no.3, 2013년, pp.417 - 429  

김도현 (고려대학교 정보보호연구원) ,  박정흠 (고려대학교 정보보호연구원) ,  이상진 (고려대학교 정보보호연구원)

초록
AI-Helper 아이콘AI-Helper

많은 리눅스 운영체제와 안드로이드 운영체제에서 Ext4 파일 시스템을 사용하고 있어 디지털 포렌식 관점에서 Ext4 파일 시스템 상의 삭제 파일 복구가 현안이 되고 있다. 본 논문은 Ext4 파일 시스템에서 파일의 할당, 삭제 시 특징을 분석함으로써 삭제된 파일에 대한 복구 방법을 제시하였다. 특히 안드로이드 운영체제의 파일 할당 정책을 바탕으로 비 할당 영역에 조각나 있는 삭제된 파일에 대한 복구 방법을 제시한다.

Abstract AI-Helper 아이콘AI-Helper

A lot of OS(Operating Systems) such as Linux and Android selected Ext4 as the official file system. Therefore, a recovery of deleted file from Ext4 is becoming a pending issue. In this paper, we suggest how to recover the deleted file by analyzing the entire structure of Ext4 file system, the study ...

주제어

#Digital Forensics   #Android Forensics   #Ext4 File System   #File Carving  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 본 논문은 Ext4 파일 시스템을 분석함으로써 파일 할당 정책과 안드로이드 내부의 사용자 데이터가 존재하는 파티션, 애플리케이션 설치 시 생성되는 파일들의 종류 및 특성 등을 이용하여 애플리케이션 등의 데이터가 삭제된 경우 관련된 파일들을 효과적으로 복구 및 분석할 수 있는 방법을 제안하였다. 특히 제안한 방법을 통해 많은 사용자 데이터가 존재하는 XML파일과 SQLite 데이터베이스 파일을 등을 효과적으로 복구할 수 있도록 하였다.
  • 본 논문은 Ext4 파일 시스템의 전체적인 구조와 파일시스템의 메타데이터에 해당하는 영역에 대한 연구 및 파일의 할당, 삭제 시 특징을 분석하였다. 또한, 추가적으로 안드로이드에서 사용되는 Ext4 파일 시스템에서 파일이 할당되는 특징을 통해 파일의 단편화 특성을 연구함으로써 비 할당 영역으로부터 조각나 있는 삭제된 파일에 대한 카빙 방법을 제시하였다.
  • 본 절에서는 Ext4 파일 시스템의 전체적인 구조와 메타데이터 영역에 대해서 알아본다. Ext4 파일 시스템은 데이터 저장의 최소 단위인 블록들로 이루어져 있으며 블록의 크기는 1KB, 2KB, 4KB 중 하나를 선택하여 사용할 수 있지만 기본적으로는 4KB를 사용한다.
  • 본 절에서는 Ext4 파일 시스템이 파일을 할당하는 방식과 파일의 단편화 현상 등의 특징들을 알아보고 파일을 삭제할 때 파일 시스템의 내부 메타데이터 영역에 나타나는 변화에 대해서 알아본다.
  • 본 절에서는 안드로이드 운영체제의 특징 및 그로 인해 발생되는 안드로이드 운영체제에서 사용된 Ext4 파일 시스템의 내부 데이터의 종류 및 할당 특성에 대해서 알아본다. 특히, 사용자 데이터가 존재하는 XML, SQLite 데이터베이스 파일에 대해 자세히 알아본다.
  • 본 절에서는 안드로이드 운영체제의 특징 및 그로 인해 발생되는 안드로이드 운영체제에서 사용된 Ext4 파일 시스템의 내부 데이터의 종류 및 할당 특성에 대해서 알아본다. 특히, 사용자 데이터가 존재하는 XML, SQLite 데이터베이스 파일에 대해 자세히 알아본다.

가설 설정

  • Ext4 파일 시스템은 [그림 3]과 같이 데이터의 크기가 블록 크기의 배수가 아닐 경우, 데이터가 저장되는 마지막 블록의 비할당 영역을 ‘0x00’으로 초기화하는데 이러한 영역은 데이터의 마지막을 판단할 수 있는 기준으로 사용될 수 있다. 블록의 크기는 4KB, 데이터의 크기는 13KB로 가정하였다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
Ext4 파일 시스템이 메타데이터를 활용한 파일 복구가 불가능한 이유는 무엇인가? Ext4 파일 시스템은 일반적으로 윈도우에서 사용되는 NTFS와 FAT 파일 시스템과는 달리 파일이 삭제될 때 메타데이터의 데이터 블록 포인터가 초기화되므로 메타데이터를 활용한 파일 복구가 불가능하다. 또한, I/O의 효율성을 높이기 위하여 블록 포인터를 extents 구조체로 저장함으로써 Ext3 파일 시스템에 비하여 파일의 단편화는 줄어들었지만 Ext3에서 사용하던 파일 복구 방식을 사용하지 못하게 되었다[1].
Ext4 파일 시스템에서 단편화가 발생되는 이유는 무엇인가? Ext4 파일 시스템은 I/O의 효율성을 위해 최대한 파일 단편화를 회피하지만 단편화가 발생되는 이유는 크게 두 가지가 있다. 첫째, 생성되는 파일의 크기가 127MB 이상이거나 해당 블록그룹에서 관리하는 데이터 블록에 더 이상 저장할 공간이 없는 경우에는 파일이 조각나서 저장되며 이러한 경우 두 개 이상의 extents를 사용하게 된다. 둘째, 이미 존재하는 파일의 내용이 수정되면서 내부 데이터가 증가할 경우 추가된 데이터는 기존 파일의 데이터 블록에 연속적으로 저장되지 못하고 다른 영역으로 조각나서 저장될 수 있다. 첫 번째의 경우는 Ext4 파일 시스템을 사용하는 일반적인 리눅스 시스템과 안드로이드 운영체제에서 비슷하게 발생하지만 두 번째의 경우는 주로 안드로이드 운영체제에서 발생하며 그 빈도가 매우 높다.
Ext4 파일 시스템은 어떤 블록 크기를 사용하는가? 본 절에서는 Ext4 파일 시스템의 전체적인 구조와 메타데이터 영역에 대해서 알아본다. Ext4 파일 시스템은 데이터 저장의 최소 단위인 블록들로 이루어져 있으며 블록의 크기는 1KB, 2KB, 4KB 중 하나를 선택하여 사용할 수 있지만 기본적으로는 4KB를 사용한다. Ext4 파일 시스템은 데이터를 효과적으로 관리하기 위해 [그림 1]과 같이 Ext4 파일 시스템 내부의 모든 블록들을 여러 개의 블록 그룹으로 묶어서 관리한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (23)

  1. Kevin D. Fairbanks, "An analysis of Ext4 for digital forensics," Digital Investigation, Vol. 9, pp. 118-130, Aug. 2012. 

    상세보기 crossref

  2. Dohyun Kim, Jungheum Park, Keun-gi Lee, and Sangjin Lee, "Forensic Analysis of Android Phone using Ext4 File System Journal Log," Lecture Notes in Electrical Engineering, Vol. 164, pp. 435-446, June. 2012. 

  3. Val Henson, Zach Brown, Theodore Ts'o, and Arjan van de Ven, "Reducing fsck time for ext2 file systems," Proceeding of the Linux Symposium, Vol. 1, July. 2006. 

  4. Philip Craiger, "Recovering Digital Evidence from Linux Systems," IFIP The International Federation for Information Processing, Vol. 194, pp. 233-244, Feb. 2005. 

  5. SANS Information, Network, Computer Security Training, Research, Resources, http://www.sans.org. 

  6. Hal Pomeranz, "EXT3 File Recovery via Indirect Blocks," http://computer-forensics.sans.org/summit-archives/2011/EXT3-file-recovery.pdf. 

  7. Gregorio Narvaez, "Taking advantage of Ext3 journaling file system in a forensic investigation," SANS Institute Reading Room, Dec. 2007. 

  8. ext3grep, http://code.google.com/p/ext 3grep. 

  9. extcarve, http://freecode.com/projects/extcarve. 

  10. giis-ext4, http://www.giis.co.in. 

  11. Stellar Phoenix Linux Data Recovery, http://www.stellarinfo.com/linux-data-recovery.htm. 

  12. EaseUS, http://www.easeus.com/datarecoverywizard. 

  13. Brian Carrier, File Sysetm Forensic Analysis, Addison Wesley Professional, 2005. 

  14. Aneesh Kumar K.V, Mingming Cao, and Jose R Santos, "Ext4 block and inode allocator improvements," Proceeding of the Linux Symposium, July. 2008. 

  15. Avantika Mathur, Mingming Cao, and Suparna Bhattacharya, "The new ext4 filesystem: current status and future plans," Proceedings of the Linux Symposium, June. 2007. 

  16. Theodore, "Speeding up file system checks in ext4," The Linux Foundation, 2009. 

  17. Guidance Software, http://www.guidancesoftware.com. 

  18. SQLite Database File Format, http://www.sqlite.org/fileformat2.html. 

  19. SQLite Database File Format2, http://www.evolane.com/support/manuals/shared/manuals/tcltk/sqlite/fileformat.html. 

  20. Simson L. Garfinkel, "GarCarving contiguous and fragmented files with fast object validation," Digital Investigation, Vol. 4, pp. S2-S12, Sept. 2007. 

    상세보기 crossref

  21. Golden Richard III, Vassil Roussev and Lodovico Marziale, "In-Place File Carving," Digital Forensics III : IFIP The International Federation for Information Processing, Vol. 242, pp. 217-230, Jan. 2007. 

    crossref

  22. Jungheum Park, Hyunji Chung, and Sangjin Lee, "Forensic analysis techniques for fragmented flash memory pages in smartphones," Digital Investigation, Vol 9, pp. 109-118, Nov. 2012. 

    상세보기 crossref

  23. Sangjun Jeon, Jungheum Park, Keun-gi Lee, and Sangjin Lee, "An Efficient Method of Extracting Strings from Unfixed-Form Data," Lecture Notes in Electrical Engineering, Vol.164, pp.425-434, June. 2012. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

유발과제정보 저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로