최소 단어 이상 선택하여야 합니다.
최대 10 단어까지만 선택 가능합니다.
다음과 같은 기능을 한번의 로그인으로 사용 할 수 있습니다.
NTIS 바로가기한국정보전자통신기술학회논문지 = Journal of Korea institute of information, electronics, and communication technology, v.8 no.4, 2015년, pp.327 - 337
조규상 (Department of Computer Information, Dongyang University)
This work provides new forensic techinque to a hide message on a directory index in Windows NTFS file system. Behavior characteristics of B-tree, which is apoted to manage an index entry, is utilized for hiding message in slack space of an index record. For hidden message not to be exposured, we use...
핵심어 | 질문 | 논문에서 추출한 답변 |
---|---|---|
루트 노드 안에 저장되는 인덱스들의 수가 달라지는 이유는 무엇인가? | 루트 노드 안에 저장되는 인덱스들의 수는 가변적이다. 인덱스 엔트리의 구성요소 중에서 파일명만이 가변적이고 다른 요소들의 크기는 고정되어 있다. 그러므로 파일명의 길이에 따라 이 속성안에 저장될 수 있는 인덱스 엔트리의 수가 달라지게 된다. 기본적인 MFT 엔트리에서 필요한 정보를 저장하고 나면 남는 공간 최대 768바이트이다. | |
B-tree란 무엇인가? | NTFS는 디렉토리 인덱스를 관리하기 위하여B-트리구조를 사용한다. 일반적으로 B-tree는 인덱스를 빠르게 검색할 수 있고 키의 갯수가 늘어나는 정도에 비하여 트리의 깊이(depth)가 상대적으로 덜 증가하는 좌우 대칭 형태인 균형트리(balanced tree) 방식이다[4]. 루트 노드는 두 개이상의 하위 노드를 가지며 자식 노드에 대한 포인터와 키 값을 갖는다. | |
인덱스 엔트리는 파일 이름을 어떻게 저장하는가? | 인덱스 엔트리는 파일 이름을 항상 알파벳 순으로 소팅되어 저장하게 된다. 긴 파일이름을 가진 경우라면 짧은 파일이름으로 저장하기 위해서대문자로 변환되고 짧게 표시된다. |
Wikipedia.org, "NTFS-Features-Scalability", http://en.wikipedia.org/wiki/NTFS#Features
Microsoft TechNet, "NTFS Technical Reference",https://technet.microsoft.com/en-us/library/cc758691(vws.10).aspx.
B. Carrier, File System Forensic Analysis, Addison-Wesley, 2005, pp. 273-396.
Wikipedia, "B-tree", http://en.wikipedia.org/wiki/B-tree.
William Ballenthin,"NTFS INDX Attribute Parsing", http://www.williballenthin.com/forensics/indx/index.html.
Chad Tilbury, "NTFS $I30 Index Attributes: Evidence of Deleted and Overwritten Files", SANS Digital Forensics and Incident Response Blog, http://digital-forensics.sans.org.
Sameer H. Mahant and B. B. Meshram, "NTFS Deleted Files Recovery: Forensics View", IRACST(-International Journal of Computer Science and Information Technology & Security (IJCSITS), Vol. 2, pp. 491-497, No.3, 2012.
Ewa Huebner, Derek Bem and Cheong Kai Wee, "Data hiding in the NTFS file system", Digital Investigation, Vol. 3, Issue 4, pp. 211-226, 2006
Christopher Lees, "Determining removal of forensic artefacts using the USN change journalOriginal", Digital Investigation, Vol. 10, Issue 4, pp. 300-310, 2013.
G.-S. Cho, "A computer forensic method for detecting timestamp forgery in NTFS", Computers & Security, Vol. 34, pp. 36-46, 2013.
Gyu-Sang Cho, A Digital Forensic Method by an Evaluation Function Based on Timestamp Changing Patterns. (2014), Journal of KSDIM(ISSN:1738-6667), Vol. 10, No. 2, pp. 91-105.
G.-S. Cho, "NTFS Directory Index Analysis for Computer Forensics", Proceedings of IMIS 2015, Blumenau Brazil, July 2015.
Gyu-Sang Cho, A Digital Forensic Analysis for Directory in Windows File System. (2015), Journal of KSDIM(ISSN:1738-6667), Vol. 11, No. 2, pp. 73-89.
Microsoft MSDN, "Naming Files, Paths, and Namespace-Short vs. Long Names", http://msdn.microsoft.com.
Microsoft TechNet, Fsutil behavior, "https://technet.microsoft.com/en-us/library/cc785435.aspx"
*원문 PDF 파일 및 링크정보가 존재하지 않을 경우 KISTI DDS 시스템에서 제공하는 원문복사서비스를 사용할 수 있습니다.
출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문
※ AI-Helper는 부적절한 답변을 할 수 있습니다.