NTFS 파일시스템 저널파일 분석을 통한 문서 열람 및 작성흔적 조사에 관한 연구 : 저널파일 분석을 중심으로 :A study on document reading and writing traces through NTFS file system journal file analysis

정재훈

추천

검색

자료유형: 학위논문

저자정보: 정재훈 (서울대학교, 서울대학교 대학원)

지도교수: 천정희

발행연도: 2022

저작권: 서울대학교 논문은 저작권에 의해 보호받습니다.

이용수18

이 논문의 연구 히스토리 (2)

2022

NTFS $LogFile를 이용한 MS Office 문서 열람 및 작성 흔적 조사에 관한 연구

정재훈 , 박상준 디지털포렌식연구 2022.06 학술저널

NTFS 파일시스템 저널파일 분석을 통한 문서 열람 및 작성흔적 조사에 관한 연구 : 저널파일 분석을 중심으로

정재훈 수리정보과학과 2022.01 학위논문

이 논문의 후속연구가 궁금하신가요?
연관 학술논문 또는 학술발표를 통해 보다 발전된 연구결과를 확인하실 수 있습니다.
이 논문의 연구 히스토리 확인하기

초록· 키워드

오류제보하기

디지털 포렌식 수사관은 실무현장에서 디지털기기 특히 컴퓨터 저장장치 내부에서 발생하는 많은 현상들에 대한 분석을 요청 받게 되고, 이러한 요청 사항 중 하나가 컴퓨터에 저장되어 있는 문서파일에 대한 열람행위에 대한 분석이다. 문서열람과 관련한 기존 분석은 링크파일 및 점프리스트(최근접근내역) 등 윈도우 아티팩트가 주요 조사대상이었다. 그러나, 이러한 링크파일 및 점프리스트의 NTFS 파일시스템 시간정보는 수정 가능하고, 윈도우 시스템 설정만으로도 쉽게 삭제가 가능하다는 문제가 있었다. 또한 기존 조사방법은 문서 열람시작과 종료시간에 대한 해명 및 문서를 열람하는 동안 내용수정행위가 있었는지 대한 연구가 부족하였다.
본 연구에서는 기존 분석방법의 문제점을 개선하기 위해 NTFS 파일시스템 저널파일 분석을 제안하고자 한다. NTFS 파일시스템 저널파일에는 $Usnjrnl 파일과 $Logfile이 있으며 NTFS 파일시스템 볼륨의 변경사항을 기록하는 $Usnjrnl 파일을 활용하여 문서열람관련 파일시스템 시간정보 변경 및 아티팩트 삭제행위에 대한 대응 가능성을 논하고자 하였고, NTFS 파일시스템에서 충돌이 일어나기 전 메타데이터 업데이트 관련 정보를 기록하는 $Logfile을 통해 문서열람 시작 및 종료시점을 분석하고자 하였다.
특히 $Logfile을 구성하는 레코드는 이전 상태 복구를 위해 변경된 정보(Redo)와 변경 직전(Undo)의 메타데이터 정보를 모두 가지고 있다는 점에 착안하여, $Logfile에 기록되어 있는 MFT entry 메타데이터 정보에서 확인되는 파일 크기 데이터를 통해 문서 열람 시 내용 수정행위가 있었는지 여부에 대해 분석하고자 하였으며, 이번 연구 결과가 현장에서 활동 중인 디지털 포렌식 수사관들에게 많은 도움이 되길 기대한다.

Digital forensic investigators are requested to analyze many phenomena occurring inside digital devices, especially computer storage devices, in the field, and one of these requests is an analysis of the reading behavior of document files stored in the computer. In the previous analysis related to document reading, window artifacts such as link files and jump lists (recent access history) were the main subjects of investigation. However, there is a problem that the NTFS file system time information of the link file and the jump list can be modified and can be easily deleted only by setting the Windows system. In addition, the existing investigation method lacked explanation of the start and end times of document reading and whether there was an act of modifying the contents while reading the document.
In this study, to improve the problems of the existing analysis method, I propose to analyze the journal file of the NTFS file system. There are $Usnjrnl files and $Logfiles in the NTFS file system journal files, and the $Usnjrnl file that records changes to the NTFS file system volume was used to discuss the possibility of responding to changes in file system time information related to document viewing and deletion of artifacts. In addtion, I tried to analyze the start and end time of document reading through $Logfile, which records metadata update-related information before a crash occurs in the NTFS file system.
In particular, paying attention to the fact that the records composing the $Logfile have both the information changed (Redo) and the information change (Undo) to restore the previous state, I tried to analyze whether or not there was an act of modifying the contents when reading the document through the file size data confirmed in the MFT entry metadata information recorded in $Logfile. It is hoped that the results of this study will be of great help to digital forensic investigators working in the field.

#Usnjrnl #파일시스템

목 차
제1장 서론 6
제2장 문서 열람 및 작성에 관한 선행 연구 7
2.1 문서 열람 및 작성관련 기존 분석방법 조사 8
2.2 문서 열람 및 작성관련 선행연구 9
2.3 기존 분석방법 및 선행연구의 문제점 9
제3장 NTFS 파일시스템의 $Usnjrnl 파일 10
3.1 $Usnjrnl 파일의 개요 11
3.2 $Usnjrnl 파일 구조 및 특징 11
3.3 $Usnjrnl 저널 파일을 활용한 연구 개요 15
3.4 $Usnjrnl:$J파일을 활용한 안티포렌식 행위 대응방안 16
3.5 소결론 (저널파일을 활용한 문서열람흔적 분석의 장점) 23
제4장 NTFS 파일시스템의 $Logfile 파일 23
4.1. $Logfile 파일의 개요 23
4.2 $Logfile 파일 구조 및 특징 24
4.3 $Logfile파일을 활용한 문서열람관련 분석 31
4.4 $Logfile파일을 활용한 문서작성관련 분석 57
제5장 결 론 82
제6장 참고문헌 83

최근 본 자료

전체보기

구분	그룹	데이터 항목
AI 학습용 데이터	원문	원문 PDF 파일
AI 학습용 데이터	원문 + 메타 (기본/상세)	원문 PDF 파일 및 서지정보 CSV
대량 구매용 데이터	B2B 구독 방식	특정 자료 한정으로 원문 접근 권한 부여
대량 구매용 데이터	URL 전달 방식	바로 PDF 뷰어를 열람할 수 있는 URL 제공

구분	그룹	데이터 항목
AI 학습용 데이터	기본 메타	발행기관명, 간행물명, 권호명, 권(vol), 호(issue), 통권, 발행연도, 발행월, 논문명, 저자명, 시작페이지, 종료페이지, 전체페이지, 상세페이지URL
상세 메타 데이터	발행기관 메타	발행기관 이명, 영문명, 창립연도, 홈페이지URL, 발행기관 소개
	간행물 메타	부제목, 간행물 유형, ISSN, ISBN, 최초발행연도, 폐간연도, 간행빈도, 발행주기, 등재사항, 이용수, 피인용수, 권호수, 논문수, 표지이미지
	논문 메타	작성 언어, 부제목, 대등제목, 목차, 키워드, 초록, 이미지, 참고문헌, 이용수, 피인용수, 논문활용도, DBpia통합주제분류, KDC분류, DDC분류, 한국연구재단분류, UCI, DOI
	저자 메타	소속기관, 소속부서, 직급, 연구분야, 연구키워드, 이용수, 피인용수, 저자 논문활용도

구분	그룹	데이터 항목
※ 결합형/맞춤형 메타 데이터는 신청 내용에 따라 다양하게 제공 가능
이용순위 정보	주제분야별 많이 이용된 논문	“인문학”에서 많이 이용된 논문 TOP100
	이용기관별 많이 이용된 논문	“중고등학교”에서 많이 이용된 논문 TOP100
	세부기관별 많이 이용된 논문	“서울대학교”에서 많이 이용된 논문 TOP100
	키워드별 많이 이용된 논문	“Chat GPT”에서 많이 이용된 논문 TOP100
키워드 정보	많이 이용된 키워드	특정기간/분야/저널 내 많이 이용된 키워드
	많이 발행된 키워드	특정기간/분야/저널 내 많이 발행된 키워드
	많이 검색된 키워드	특정기간/분야/저널 내 많이 검색된 키워드
	연구 트렌드 키워드	특정 키워드 연관 연구동향 분석 데이터 키워드

논문 기본 정보

이 논문의 연구 히스토리 (2)

초록· 키워드

목차

최근 본 자료

댓글(0)