$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

디지털 포렌식 관점의 물리 메모리 영역 수집과 분석
The Acquisition and Analysis of Physical Memory in a view of Digital Forensic 원문보기

한국방송공학회 2008년도 동계학술대회, 2008 Feb. 02, 2008년, pp.103 - 106  

방제완 (고려대학교 정보경영공학전문대학원) ,  김권엽 (고려대학교 정보경영공학전문대학원) ,  이상진 (고려대학교 정보경영공학전문대학원) ,  임종인 (고려대학교 정보경영공학전문대학원)

초록
AI-Helper 아이콘AI-Helper

물리 메모리 영역에는 증거로 활용될 수 있는 프로세스 정보와 이름, ID, 비밀 번호, 전자 메일 주소 등의 정보를 담고 있다. 또 용의자가 행위를 감추기 위해 안티 포렌식 기법을 사용하여 저장매체 상에서 완전 삭제한 파일의 잔여 데이터를 취득할 수 있는 가능성이 있다. 하드 디스크와 같은 저장 매체의 경우 증거 수집 절차시 Hash와 같은 무결성 보장 과정을 거쳐 복사본의 유효성 확인이 가능하지만 물리 메모리 영역의 경우 운용 중인 시스템에서 발생하는 운영체제와 응용 프로그램의 동작에 의한 지속적인 데이터의 변화로 무결성 및 동일한 대상에서 수집되었다는 것을 확인하기 어렵고 소프트웨어 기반의 수집은 시스템의 상태를 변화 시킨다. 본 논문에서는 물리 메모리 영역 수집 기법을 알아보고 IEEE1394의 특성을 이용한 하드웨어 기반 물리 메모리 영역 수집 도구를 구현하였다. 또 수집된 물리 메모리 덤프를 이용하여 물리 메모리에서 얻을 수 있는 정보를 확인하고 동일 대상의 메모리와 다른 대상의 메모리를 비교하여 그 차이를 확인한다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 물리 메모리 영역에는 증거로 활용될 수 있는 프로세스 정보와 이름, ID, 비밀 번호, 전자 메일 주소 등의 정보를 담고 있으며 사용자의 행위를 감추기 위해 안티 포렌식 기법[5]을 사용하여 저장매체에서 완전 삭제한 파일의 잔여 데이터를 취득할 수 있는 가능성을 가지고 있다. 본 논문에서는 소프트웨어 기반의 물리 메모리 수집 기법과 하드웨어 기반의 물리 메모리 수집 기법을 알아보고 IEEE1394[6]의 특성을 이용하여 하드웨어 기반 물리 메모리 영역 수집 도구를 구현하였다. 또 도구를 통해 수집된 물리 메모리 덤프 분석을 통해 얻을 수 있는 정보를 확인하고 동일 대상의 물리 메모리와 다른 대상의 물리 메모리를 비교하여 그 차이를 확인하였다.
  • 하지만 운용 중인 시스템에서 발생하는 운영체제와 응용 프로그램의 동작에 의한 지속적인 데이터의 변화로 무결성 및 동일한 대상에서 수집되었다는 것을 확인하기 어렵다. 이에 본 논문에서는 물리 메모리 영역 수집 기법과 분석 기법을 알아보고 하드웨어 기반 수집 도구를 구현하여 물리 메모리의 변화량과 다른 대상과의 차이를 확인하였다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
포렌식 절차는 어떻게 구성되어 있는가? 디지털 포렌직[1]은 컴퓨터나 PDA, 핸드폰과 같은 정보처리 기기에 저장되어 있는 데이터를 통해 각종 행위에 대한 사실 관계를 확증하거나 증명하기 위해 행하는 각종 절차와 방법을 말한다. 포렌식 절차는 준비, 증거물 획득, 증거물 보관 및 이송, 증거 분석, 보고서 작성 단계로 구성[2] 되어있다. 이 중 사고 발생 현장에서 디지털 증거를 수집하고, 증거의 무결성을 확보하는 증거물 획득 단계의 수집 사항 중 권고되는 것이 휘발성 데이터[3]이며 주로 메모리 또는 하드 디스크의 임시파일에 저장 되어 있다.
물리 메모리 영역의 한계점은 무엇인가? 물리 메모리 영역에는 증거로 활용될 수 있는 프로세스 정보와 이름, ID, 비밀 번호, 전자 메일 주소 등의 정보를 담고 있다. 하지만 운용 중인 시스템에서 발생하는 운영체제와 응용 프로그램의 동작에 의한 지속적인 데이터의 변화로 무결성 및 동일한 대상에서 수집되었다는 것을 확인하기 어렵다. 이에 본 논문에서는 물리 메모리 영역 수집 기법과 분석 기법을 알아보고 하드웨어 기반 수집 도구를 구현하여 물리 메모리의 변화량과 다른 대상과의 차이를 확인하였다.
휘발성 데이터란 무엇인가? 이 중 사고 발생 현장에서 디지털 증거를 수집하고, 증거의 무결성을 확보하는 증거물 획득 단계의 수집 사항 중 권고되는 것이 휘발성 데이터[3]이며 주로 메모리 또는 하드 디스크의 임시파일에 저장 되어 있다. 휘발성 데이터는 부팅된 후 운영체제에 의해 동작되고 있는 온라인 상태의 시스템에서의 시스템이 종료되면 사라지는 레지스터, 캐쉬, 실행 중인 프로세스 내역, 네트워크 연결 상태, 실행 중인 서비스 내역과 같은 기록을 말하며 대부분의 휘발성 데이터는 하드 디스크가 아닌 물리 메모리 영역에 존재한다[4].
질의응답 정보가 도움이 되었나요?

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로