디지털 포렌식 조사에서 파일의 시간정보는 중요한 의미를 가진다. 리눅스의 Ext4(Extended File System 4) 환경에서 획득할 수 있는 파일의 시간정보는 파일 접근 시간(Access Time), 수정 시간(Modification Time), Inode 변경 시간(Change Time), 삭제 시간(Deletion Time), 생성 시간(Creation Time)이다. 일반적으로 파일의 생성, 수정, 복사 등 여러 가지 행위에 따라 시간 정보가 변화되며, 증거 분석을 위해 행위에 따른 파일 시간변화에 대한 연구가 필요하다. 본 논문에서는 리눅스 Ext4 환경에서 파일 및 폴더의 다양한 행위에 따른 시간정보를 분석하였고 이를 이용하여 악성코드의 실제 감염시간과 파일의 변조 여부를 확인하는 방안을 연구하였다.
디지털 포렌식 조사에서 파일의 시간정보는 중요한 의미를 가진다. 리눅스의 Ext4(Extended File System 4) 환경에서 획득할 수 있는 파일의 시간정보는 파일 접근 시간(Access Time), 수정 시간(Modification Time), Inode 변경 시간(Change Time), 삭제 시간(Deletion Time), 생성 시간(Creation Time)이다. 일반적으로 파일의 생성, 수정, 복사 등 여러 가지 행위에 따라 시간 정보가 변화되며, 증거 분석을 위해 행위에 따른 파일 시간변화에 대한 연구가 필요하다. 본 논문에서는 리눅스 Ext4 환경에서 파일 및 폴더의 다양한 행위에 따른 시간정보를 분석하였고 이를 이용하여 악성코드의 실제 감염시간과 파일의 변조 여부를 확인하는 방안을 연구하였다.
File Time information has a significant meaning in digital forensic investigation. File time information in Linux Ext4 (Extended File System 4) environment is the Access Time, Modification Time, Inode Change Time, Deletion Time and Creation Time. File time is variously changed by user manipulations ...
File Time information has a significant meaning in digital forensic investigation. File time information in Linux Ext4 (Extended File System 4) environment is the Access Time, Modification Time, Inode Change Time, Deletion Time and Creation Time. File time is variously changed by user manipulations such as creation, copy and edit. And, the study of file time change is necessary for evidence analysis. This study analyzes the change in time information of files or folders resulting from user manipulations in Linux operating system and analyzes ways to determine real time of malware infection and whether the file was modulation.
File Time information has a significant meaning in digital forensic investigation. File time information in Linux Ext4 (Extended File System 4) environment is the Access Time, Modification Time, Inode Change Time, Deletion Time and Creation Time. File time is variously changed by user manipulations such as creation, copy and edit. And, the study of file time change is necessary for evidence analysis. This study analyzes the change in time information of files or folders resulting from user manipulations in Linux operating system and analyzes ways to determine real time of malware infection and whether the file was modulation.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서는 리눅스 운영체제에서 파일 조작에 따른 시간 변화의 분석 방안을 제시하였다. 리눅스 Ext4는 파일별로 접근 시간, 수정 시간, Inode 변경 시간, 삭제 시간, 생성 시간의 5가지 시간정보를 저장하는 것을 확인하였다.
이를 이용하여 행위에 따른 파일/폴더, 폴더 내부의 파일까지 시간의 변화를 분석하고, 침해사고 및 디지털 포렌식 조사에 활용하는 방안을 연구하였다. 그 결과 악성코드 감염에 대한 침해사고 조사시, 악성코드가 자신의 시간을 변경하더라도 파일 생성 시간을 통해 실제 감염 시간을 획득하는 방안을 확인하였다.
리눅스 운영체제는 윈도우에 비해 점유율은 떨어지지만 서버 부분에서 높은 비중으로 사용 중이며, 디지털 포렌식 조사의 분석 대상으로서 중요한 가치를 가진다. 이에 본 논문에서는 리눅스 운영체제 Ext4환경에서 행위에 따른 파일 및 폴더 시간정보를 분석하고 이를 증거 분석에서 활용할 수 있는 방안을 제시한다.
제안 방법
운영체제는 리눅스 중 데비안 계열의 CentOS, 레드햇 계열의 Ubuntu 최신 버전을 대상으로 선정하고, 파일 시간 정보 확인을 위해 EnCase, Autopsy 도구를 활용하였다. 파일 시간 변화에 대한 정확한 확인을 위해 새로운 파일을 생성, 파일 조작 후에 디스크의 이미지를 획득한 후, EnCase, Autopsy를 이용하여 시간정보를 확인 하였다.
이와는 달리 Windows 운영체제 대상으로는 파일 및 폴더의 다양한 조작에 따른 시간 변화가 연구되었다[1][2].해당 연구는 Windows 운영체제의 NTFS, FAT 파일 시스템을 대상으로 시간 변화를 분석 하였고, 이를 이용하여 파일 시간조작 여부 및 사용자 행위를 확인할 수 있는 방안을 제시하였다. 마찬가지로 리눅스 운영체제의 Ext4 환경에서도 파일 및 폴더의 조작에 따른 시간 변화 분석이 필요하며 이를 활용한 디지털 포렌식 조사 방안의 연구가 필요하다.
대상 데이터
Inode Table에 저장되는 시간정보는 4bytes 크기로 저장된다. 4bytes 크기에 저장될 수 있는 시간 정보는 1970년도부터 2038년까지로 한정되어 있다. 이를 해결하기 위해 Extra Change Time, Extra Modification Time, Extra Access Time, Extra File Creation Time 데이터가 Ext4에 추가되었다.
리눅스 Ext4 환경에서 다양한 행위에 따른 시간 정보 변화를 확인하기 위해 표 1과 같은 환경에서 실험을 진행하였다. 운영체제는 리눅스 중 데비안 계열의 CentOS, 레드햇 계열의 Ubuntu 최신 버전을 대상으로 선정하고, 파일 시간 정보 확인을 위해 EnCase, Autopsy 도구를 활용하였다. 파일 시간 변화에 대한 정확한 확인을 위해 새로운 파일을 생성, 파일 조작 후에 디스크의 이미지를 획득한 후, EnCase, Autopsy를 이용하여 시간정보를 확인 하였다.
성능/효과
이를 이용하여 행위에 따른 파일/폴더, 폴더 내부의 파일까지 시간의 변화를 분석하고, 침해사고 및 디지털 포렌식 조사에 활용하는 방안을 연구하였다. 그 결과 악성코드 감염에 대한 침해사고 조사시, 악성코드가 자신의 시간을 변경하더라도 파일 생성 시간을 통해 실제 감염 시간을 획득하는 방안을 확인하였다. 그리고 시스템로그파일 변조시 파일의 메시지 로그 시간과 생성 시간의 비교를 통해 파일의 조작 여부를 판단 가능하다는 것을 확인하였다.
그 결과 악성코드 감염에 대한 침해사고 조사시, 악성코드가 자신의 시간을 변경하더라도 파일 생성 시간을 통해 실제 감염 시간을 획득하는 방안을 확인하였다. 그리고 시스템로그파일 변조시 파일의 메시지 로그 시간과 생성 시간의 비교를 통해 파일의 조작 여부를 판단 가능하다는 것을 확인하였다. 이는 침해사고와 디지털 포렌식 조사에서 중요한 증거로 활용 될 수 있다.
. 그리고 악성코드 분석 결과 감염시 악성코드의 시간정보를 utimes 명령어를 통해 변경하는 것을 확인하였다. utimes 명령어는 파일 접근, 수정 시간 값을 인자로 입력받아 해당 시간으로 변경한다.
파일 시간 변화와 마찬가지로 파일 접근, 수정, Inode 변경 시간은 행위에 따라 다양하게 변화되는 것을 확인할 수 있으며, 파일 생성 시간도 폴더 생성, 복사와 같이 새로 생성되는 경우에만 시간이 변화되는 것을 확인 하였다. 그리고 폴더를 동일 또는 다른 볼륨으로 복사/이동시 폴더 내부의 파일과 폴더의 시간에 영향을 주는 것을 확인 하였다.
확장자가 없는 파일의 이름 변경시 확장자가 변경으로 간주됨을 확인 하였고, 동일 및 다른 볼륨으로 파일 복사시 원본파일의 시간 정보 변화는 없는 것으로 확인되었다. 또한 같은 Ext4 환경이라도 OS의 종류에 따라 일정 부분에서 시간정보가 다르게 저장됨을 확인할 수 있다.
표 3은 행위에 따른 폴더 시간 변화를 보여준다. 파일 시간 변화와 마찬가지로 파일 접근, 수정, Inode 변경 시간은 행위에 따라 다양하게 변화되는 것을 확인할 수 있으며, 파일 생성 시간도 폴더 생성, 복사와 같이 새로 생성되는 경우에만 시간이 변화되는 것을 확인 하였다. 그리고 폴더를 동일 또는 다른 볼륨으로 복사/이동시 폴더 내부의 파일과 폴더의 시간에 영향을 주는 것을 확인 하였다.
확장자가 없는 파일의 이름 변경시 확장자가 변경으로 간주됨을 확인 하였고, 동일 및 다른 볼륨으로 파일 복사시 원본파일의 시간 정보 변화는 없는 것으로 확인되었다. 또한 같은 Ext4 환경이라도 OS의 종류에 따라 일정 부분에서 시간정보가 다르게 저장됨을 확인할 수 있다.
후속연구
이러한 연구결과를 통해 향후에는 CentOS, Ubuntu 외에 다양한 버전의 리눅스 운영체제를 대상으로 행위에 따른 파일 및 폴더의 시간 정보 변화를 분석할 예정이다. 그리고 실제 조사에서 활용 가능한 방안을 추가적으로 연구할 계획이다.
이러한 연구결과를 통해 향후에는 CentOS, Ubuntu 외에 다양한 버전의 리눅스 운영체제를 대상으로 행위에 따른 파일 및 폴더의 시간 정보 변화를 분석할 예정이다. 그리고 실제 조사에서 활용 가능한 방안을 추가적으로 연구할 계획이다.
질의응답
핵심어
질문
논문에서 추출한 답변
Ext4란?
Ext4는 Extended File System 4의 약자로 리눅스 시스템에서 사용되는 파일시스템이다. 1992년 4월 Ext1로 처음 적용되었으며 Ext2, Ext3를 거쳐 지금의 Ext4가 널리 사용되고 있다.
Ext4의 블록의 크기는?
Ext4는 데이터를 저장하는 기본단위로 블록(Block)을 사용한다. 블록은 NTFS, FAT 파일시스템의 클러스터와 유사하다고 할 수 있으며, 블록의 크기는 1KB, 2KB, 4KB로 사용 될 수 있으며, 기본적으로 4KB를 사용한다. Ext4는 여러 블록들을 블록 그룹(Block Group)으로 묶어서 관리한다.
NTFS의 추가 시간 정보는 어떻게 활용되는가?
윈도우 운영체제 NTFS(New Technology File System)는 일반적으로 사용자가 확인할 수 있는 $Standard_Information 속성의 파일 생성, 수정, 접근 시간 외에, Entry 수정 시간, $File_Name 속성의 파일 생성, 수정, 접근, Entry 수정 시간에 대한 정보를 저장하고 있다[1]. 이러한 추가 시간 정보는 사용자 행위 분석 등 디지털 포렌식 조사에서 중요한 증거로 활용된다. 따라서 리눅스 운영체제의 Ext4환경에서도 파일 속성에서 일반적으로 확인 할 수 있는 시간 외에 추가적인 시간정보에 대한 확인이 필요하다.
참고문헌 (13)
Jewan Bang, Byeongyeong Yoo, Sangjin Lee, "Analysis of changes in file time attributes with file manipulation", Digital Investigation, Vol. 7, Issues 3-4, pp. 135-144, 2011.
Jewan Bang, Byeongyeong Yoo, Jongsung Kim, Sangjin Lee, "Analysis of Time Information for Digital Investigation" INC, IMS and IDC, 2009. NCM '09. Fifth International Joint Conference on, pp. 1858-1864, 2009.
Val Henson, Zach Brown, Theodore Ts'o, and Arjan van de Ven, "Reducing fsck time for ext2 file systems," Proceeding of the Linux Symposium, Vol. 1, 2006.
Philip Craiger, "Recovering Digital Evidence from Linux Systems," IFIP The International Federation for Information Processing, Vol. 194, pp. 233-244, 2005.
SANS Information, Network, Computer Security Training, Research, Resources, http://www.sans.org.
Hal Pomeranz, "EXT3 File Recovery via Indirect Blocks," http://computer-forensics.sans.org/summit-archives/2011/EXT3-file-recovery.pdf.
Gregorio Narvaez, "Taking advantage of Ext3 journaling file system in a forensic investigation," SANS Institute Reading Room, 2007.
Kevin D. Fairbanks, "An analysis of Ext4 for digital forensics," Digital Investigation, Vol. 9, pp. 118-130, 2012.
Dohyun Kim, Jungheum Park, Keun-gi Lee, and Sangjin Lee, "Forensic Analysis of Android Phone using Ext4 File System Journal Log," Lecture Notes in Electrical Engineering, Vol. 164, pp. 435-446, 2012.
Dohyun Kim, Jungheum Park, Sangjin Lee, "File Carving for Ext4 File System on Android OS", Journal of The Korea Institute of Information Security & Cryptology(JKIISC), Vol. 23, No. 3, 2013.
Soeui Kim, Duri Choi, Beongku An, "Detection and Prevention Method by Analyzing Malignant Code of Malignant Bot,, The Journal of The Institute of Internet, Broadcasting and Communication(JIIBC), Vol. 8, No. 2, pp. 199-207, 2013.
Se-Ryoung Kim, Huy-Kang Kim, "Fuzzy Expert System for Detecting Anti-Forensic Activities", Journal of Internet Computing and Services, Volume 12, Issue 5, pp. 47-61, 2011
※ AI-Helper는 부적절한 답변을 할 수 있습니다.