[논문]유니코드 변환이 적용된 NTFS 인덱스 레코드에 데이터를 숨기기 위한 안티포렌식 기법

조규상

유니코드 변환이 적용된 NTFS 인덱스 레코드에 데이터를 숨기기 위한 안티포렌식 기법
An Anti-Forensic Technique for Hiding Data in NTFS Index Record with a Unicode Transformation 원문보기

융합보안논문지 = Convergence security journal, v.15 no.7, 2015년, pp.75 - 84

초록
AI-Helper

윈도우즈 NTFS 파일시스템에서 인덱스 레코드에 데이터를 숨기기 위한 기법은 파일명을 이용하여 메시지를 숨기는 방법이다. 윈도우즈 NTFS의 파일명 규칙에서 일부 ASCII 문자는 파일명으로 사용할 수 없는 문제가 있다. 영문과 함께 한글, 기호 문자가 함께 입력이 될 때와 바이너리 형태의 데이터들이 입력될 때 인덱스 레코드에 데이터 숨기기 방법 수행 시에 파일생성 에러 문제가 발생하는 것을 해결하기 위한 방법으로 유니코드의 특정 영역으로 변환하는 방법을 제안한다. 에러가 발생하는 문자들을 한글과 영문 영역이 아닌 유니코드로 변환하고. 바이너리 형태의 데이터인 경우는 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 256개의 코드 전체를 변환하는 방식을 적용한다. 영문과 함께 한글이 사용된 경우에 제안한 방식이 적용된 사례의 결과를 보이고. 바이너리의 경우는 PNG이미지 파일의 바이너리 코드를 유니코드로 변환한 사례를 통해서 제안한 방법이 타당함을 보인다.

Abstract ▼ AI-Helper

In an "NTFS Index Record Data Hiding" method messages are hidden by using file names. Windows NTFS file naming convention has some forbidden ASCII characters for a file name. When inputting Hangul with the Roman alphabet, if the forbidden characters for the file name and binary data are used, the codes are convert to a designated unicode point to avoid a file creation error due to unsuitable characters. In this paper, the problem of a file creation error due to non-admittable characters for the file name is fixed, which is used in the index record data hiding method. Using Hangul with Roman alphabet the characters cause a file creation error are converted to an arbitrary unicode point except Hangul and Roman alphabet area. When it comes to binary data, all 256 codes are converted to designated unicode area except an extended unicode(surrogate pairs) and ASCII code area. The results of the two cases, i.e. the Hangul with Roman alphabet case and the binary case, show the applicability of the proposed method.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

이 사례에서는 바이너리 파일로 저장된 데이터를 디렉토리 인덱스에 숨김 처리를 하려고 한다. (그림 6)에 나타낸 크기가 675자로 구성된 PNG 그림파일이다.
만일 확장유니코드의 영역이라면 redoSetCodeBasis(basis) 함수에 의하여 basis코드를 새로 정한다. 이 연구에서는 BMP영역에서만 코드 변환을 사용하기 때문에 확장 유니코드 영역의 코드의 사용을 막기 위해 사용하는 방법이다.
이 연구에서는 앞서서 발표된 인덱스 레코드에 데이터를 감추는 방법에서 데이터를 저장할 때 파일명을 이용하는 방식을 사용하는데 파일명에 사용할 수 없는 문자들로 인해서 파일에러가 생기는 문제에 대한 개선된 방법을 제안한다. 이 방법은 기존의 연구[8]에서 파일명으로 사용할 수 없는 문자들, 아스키 문자 중 0x00-0x1F, 0x80~0xA0 코드와 9개 문자들을 사용할 때 파일생성 에러가 발생하여 메시지 숨김 처리를 할 수 없는 것을 단점을 개선하고 바이너리 형태의 데이터를 감추기 위해 유니코드의 특정영역으로 변환하여 파일명을 이용하여 감추는 방법을 제안한다.
Huebner등[6]은 파일시스템 안에 숨겨진 데이터를 탐지하고 복구하는 방법들을 소개하였다. 이 연구에서는 파일시스템의 데이터구조의 특성만을 이용한 여러 가지 방식의 데이터 숨김 방식을 소개하고 있다. 파일을 숨기기 위하여 암호화나 난독화 등이 아닌 파일시스템의 구조만을 이용하는 방법을 다루고 있다.
이 절에서는 바이너리 코드 형태의 파일을 처리하기 위한 방법의 제안이다. 일반적인 키보드 입력가능한 문자의 처리 방법과는 달리 바이너리 파일의 내용들은 아스키코드의 0번에서부터 255번까지 고루 사용된다는 특징이 있다.
이 절에서는 영문자와 한글을 함께 사용하는 경우에 대한 처리방법을 제안한다. Basic Latin 영역에 포함되어 있는 출력할 수 없는 문자들과 0(0x00)^~31(0x1F), C1 Control 문자들 128(0x80) ^~ 160(0xA0), 그리고 9개의 파일명 사용금지 문자들( “,*, /, :, [, ], ?, \, |)에 대한 처리 방법이다.

가설 설정

1) 숨길 메시지의 길이는 경로의 문자 길이를 포함하여 255자를 넘지 않아야 한다.
2) 변환하려는 유니코드는 0x0000-0x00FF의 아스키 코드 제외한 영역이어야 한다.
5) 고정파일명은 반드시 목록 중에서 가장 선두에 놓이는 이름이어야 한다.
이 공간의 크기는 대략 700바이트정도 사용이 가능하다. 8.3형식의 파일명인 경우는 보통 5~6개 정도밖에 기록되지 않는다. 공간이 부족하면 $INDEX_ALLOCATION에 들어있는 Run-length를 이용하여 외부 노드에 디렉토리의 인덱스 엔트리가 저장된다.

제안 방법

이 연구에서의 제안 방법은 영문과 한글이 입력되는 경우는 에러가 발생하는 코드들을 부분적인 유니코드 중에서 한글과 영문이 아닌 다른 부분에 코드를 매핑하는 방식을 적용하였다. 바이너리 데이터들은 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 코드 전체를 변환하는 방식을 적용하였다. 한글과 영문이 사용된 사례에 제안한 방식을 적용하여 수행된 결과를 보였고 바이너리의 경우는 PNG 그림 파일의 바이너리 코드를 유니코드로 변환한 결과를 통해서 제안한 방법이 타당함을 보였다.
본 연구에서 제안한 방법은 기존의 방식과는 다른 새로운 기법이 적용된 것이다. 참고문헌 [6]에 소개된 여러 가지 방법 중에서 슬랙 공간(볼륨, 파일시스템, 파일의 슬랙)을 이용하는 방법이 소개되었지만 인덱스 레코드를 이용하는 본 연구의 방법과는 다른 방법이다.
영문과 한글, 기호문자가 혼재된 문장으로 구성된 데이터를 키보드로 입력하여 인덱스 레코드에 데이터 숨기기를 하려고 한다. 이 사례는 다음의 시스템 환경조건에서 수행된 것이다.
이 연구에서는 앞서서 발표된 인덱스 레코드에 데이터를 감추는 방법에서 데이터를 저장할 때 파일명을 이용하는 방식을 사용하는데 파일명에 사용할 수 없는 문자들로 인해서 파일에러가 생기는 문제에 대한 개선된 방법을 제안한다. 이 방법은 기존의 연구[8]에서 파일명으로 사용할 수 없는 문자들, 아스키 문자 중 0x00-0x1F, 0x80~0xA0 코드와 9개 문자들을 사용할 때 파일생성 에러가 발생하여 메시지 숨김 처리를 할 수 없는 것을 단점을 개선하고 바이너리 형태의 데이터를 감추기 위해 유니코드의 특정영역으로 변환하여 파일명을 이용하여 감추는 방법을 제안한다.
이 연구에서의 제안 방법은 영문과 한글이 입력되는 경우는 에러가 발생하는 코드들을 부분적인 유니코드 중에서 한글과 영문이 아닌 다른 부분에 코드를 매핑하는 방식을 적용하였다. 바이너리 데이터들은 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 코드 전체를 변환하는 방식을 적용하였다.
사용 가능한 문자들은 키보드로 입력할 수 있는 문 자중에서 파일명에 사용할 수 없는 9개의 문자를 포함하여 ASCII 코드의 경우는 0x00~0x1F와 0x80-0x9F까지의 코드는 사용할 수 없다. 이런 제약을 극복하기 위한 방법으로 (그림 3)의 플로 차트와 알고리즘 1,2에 개선된 방법을 제안한다.
맨 끝 엔트리가 들어 있던 곳에는 흔적이 남게 된다. 이렇게 흔적이 남게 되는 것을 이용하여 이 연구에서 인덱스 레코드에 메시지를 숨기는 방법이 적용된다.
Piper등[5]은 Ext2/Ext3 파일시스템에서 안티포렌식을 하기 위해 숨겨진 데이터를 찾아내는 방법에 관한 연구를 수행하였다. 파일시스템의 예약된 영역에 숨겨진 데이터를 검색하는 방법을 제안하였다.

대상 데이터

Thompson등이 개발한 FragFS[4]는 NTFS MFT(Master File Table) 영역 안에 데이터를 숨기는 도구로 안티포렌식을 위한 도구로 알려져 있다. 잘 사용하지 않는 MFT엔트리에 16바이트 단위로 데이터를 저장하는 방식으로 구현되었다.

성능/효과

3) 확장유니코드 영역 0xD800–DBFF(Surrogate pair high)와 0xDC00–DFFF(surrogate pair low)은 이론적으로 사용이 가능하지만 개발된 툴에서 변환된 코드의 부작용을 고려하지 않았다.
4) 숨길 메시지와 관련된 디렉토리 내에 제안한 방법과 상관없는 파일은 들어 있지 않아야 한다.
바이너리 데이터들은 확장 유니코드 영역과 아스키 코드의 영역이 아닌 유니코드의 영역으로 코드 전체를 변환하는 방식을 적용하였다. 한글과 영문이 사용된 사례에 제안한 방식을 적용하여 수행된 결과를 보였고 바이너리의 경우는 PNG 그림 파일의 바이너리 코드를 유니코드로 변환한 결과를 통해서 제안한 방법이 타당함을 보였다.

후속연구

읽기 기능과 변경 기능을 갖춘 도구를 개발하면 안티포렌식을 위한 데이터 감추기 도구로 활용도를 높일 수 있을 것이다. 이 연구에서 개발된 안티포렌식 기법이 기존의 포렌식 도구들이 디렉토리 인덱스에 감춰진 데이터를 좀 더 논리적이고 조직적이며 자동화된 방법으로 찾아 낼 수 있는 기능이 구현되기 위한 촉매로 작용될 수 있기를 바란다.
또한 현재 구현된 도구는 쓰기 기능만을 갖추고 있다. 읽기 기능과 변경 기능을 갖춘 도구를 개발하면 안티포렌식을 위한 데이터 감추기 도구로 활용도를 높일 수 있을 것이다. 이 연구에서 개발된 안티포렌식 기법이 기존의 포렌식 도구들이 디렉토리 인덱스에 감춰진 데이터를 좀 더 논리적이고 조직적이며 자동화된 방법으로 찾아 낼 수 있는 기능이 구현되기 위한 촉매로 작용될 수 있기를 바란다.

질의응답

핵심어	질문	논문에서 추출한 답변
	B-tree의 특징은?	NTFS에서는 디렉토리 안에 들어 있는 파일들의 목록을 관리하기 위한 방법으로 B-tree를 사용한다. 자료구조의 이론에서 잘 알려진 이 방식은 여러 파일들을 다루는데 편리한 방법이고 파일의 수에 비하여 트리의 깊이가 상대적으로 낮게 유지되는 균형트리 방식이다. 파일에 대한 검색도 빠르게 수행할 수 있다.
	B-tree는 NTFS에서 어떤 방법으로 사용되는가?	NTFS에서는 디렉토리 안에 들어 있는 파일들의 목록을 관리하기 위한 방법으로 B-tree를 사용한다. 자료구조의 이론에서 잘 알려진 이 방식은 여러 파일들을 다루는데 편리한 방법이고 파일의 수에 비하여 트리의 깊이가 상대적으로 낮게 유지되는 균형트리 방식이다.
	본 논문에서 사용된 시스템 환경조건은?	OS : Windows 7 Ultimate K Service Pack 1 개발도구 : Visual Studio 2013 개발언어 : C/C++, MFC 클래스 어플리케이션 타입 : Windows dialog based NTFS버전 : NTFS v3.1 저장매체 : 1TB 외장 usb 드라이브 작업 디렉토리 : h:\ttest\HideDir 위장 파일 : Disguised-__.txt 고정 파일 : $fixedfile.txt

참고문헌 (10)

Michael T. Raggo, Chet HosmerB, 'Data Hiding: Exposing Concealed Data in Multimedia, Operating Systems', Syngress, 2013.
H. Carvey, 'Windows Forensics and Incident Recovery', 2005.
Metasploit, Anti Forensics Project, http://www.metasploit.com/research/projects/antiforensics/
I. Thompson and M. Monroe, "FragFS: An Advanced Data Hiding Technique", BlackHat Federal, 2006.
S. Piper et.al, "Detecting hidden data in EXT2/EXT3 file systems", Advances in Digital Forensics, pp. 245-256, 2006.
E. Huebner, D. Bem and C. K. Wee, "Data hiding in the NTFS file system", Digital Investigation, Vol. 3, Issue 4, pp. 211-226, 2006.

상세보기
Gyu-Sang Cho, "NTFS Directory Index Analysis for Computer Forensics", IMIS 2015, Blumenau Brazil, 2015.
조규상, "새로운 NTFS 디렉토리 인덱스 안티포렌식 기법", 한국정보전자통신기술학회 논문지, 8권, 4호, pp.327-337, 2015.

원문보기 상세보기
Microsoft MSDN, "Naming Files, Paths, and Namespaces", https://msdn.microsoft.com/en-us/library/aa365247
Microsoft MSDN, "Surrogates and Supplementary Characters", https://msdn.microsoft.com/ en-us/library/windows/desktop/dd374069

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증