표제지
목차
논문요약 10
제1장 서론 12
제1절 연구의 배경 및 목적 12
제2절 연구의 범위 및 방법 13
제2장 윈도우시스템에서의 디지털 증거 수집 14
제1절 디지털 증거의 수집 방법 14
1. 디지털 증거의 수집 14
2. 디지털 증거 수집 절차 16
3. 디지털 증거 수집 도구 17
제2절 포렌식 관점의 디지털 증거 수집 19
1. 휘발성 데이터 수집 19
2. 휘발성 데이터를 이용한 디지털 증거 수집 21
3. 비휘발성 데이터 수집 25
4. 비휘발성 데이터를 이용한 디지털 증거 수집 30
제3절 윈도우 레지스트리 31
1. 레지스트리 획득 및 분석 툴 32
2. 레지스트리 분석 35
제3장 디지털 포렌식 증거수집 절차 제안 44
제1절 비휘발성 데이터 수집 절차 모델링 44
1. 비휘발성 데이터 선별 수집 필요성 44
2. 비휘발성 데이터 수집 절차 45
3. 레지스트리 분석 기법 46
4. 비휘발성 데이터 선별 기법 48
제4장 실험 51
제1절 실험환경 51
1. 실험환경의 구성 51
2. 디스크 이미징 및 레지스트리 수집 52
제2절 시나리오를 통한 검증 56
제3절 실험결과 및 평가 60
제5장 결론 및 향후 연구 63
참고문헌 65
ABSTRACT 67
[표 2-1] 통합 포렌식 도구 18
[표 2-2] 데이터 휘발성 민감도 19
[표 2-3] 휘발성 정보 및 사용도구 22
[표 2-4] 디스크 이미징 하드웨어 목록 26
[표 2-5] 디스크 이미징 소프트웨어 목록 27
[표 2-6] 비휘발성 데이터 목록 30
[표 2-7] 비휘발성 데이터와 유사분석 가능한 레지스트리 목록 31
[표 2-8] 윈도우 레지스트리 분석 툴 34
[표 2-9] 레지스트리 분석 목록 36
[표 2-10] SID 식별자 구분 38
[표 2-11] 윈도우 레지스트리 하이브 파일 경로 43
[표 4-1] 실험에 사용된 포렌식 도구 목록 52
[그림 2-1] 디지털 증거의 특징 14
[그림 2-2] 포렌식 디지털 증거물 획득 절차 17
[그림 2-3] 휘발성 데이터 획득 순서도 21
[그림 2-4] FTK Imager 실행화면 27
[그림 2-5] 디스크 이미징 과정 28
[그림 2-6] 디스크 이미징 완료 화면 29
[그림 2-7] Autopsy 실행화면 29
[그림 2-8] 레지스트리 하이브 목록 32
[그림 2-9] 레지스트리 백업 및 복구 33
[그림 2-10] REGA를 이용한 레지스트리 분석 35
[그림 2-11] 응용프로그램 사용 로그 37
[그림 2-12] 시스템 사용자 목록 38
[그림 2-13] 윈도우 검색 정보 39
[그림 2-14] 원격 데스크탑 연결 정보 40
[그림 2-15] USB 저장매체 정보 41
[그림 2-16] 인터넷 설정 정보 41
[그림 3-1] 비휘발성 데이터 수집 절차 46
[그림 3-2] 레지스트리 분석 절차 및 목록 48
[그림 3-3] 비휘발성 데이터 선별 수집 기법 50
[그림 4-1] 실험에 사용된 PC 시스템 정보 52
[그림 4-2] 디지털 증거 획득 절차 53
[그림 4-3] FTK Imager 실행 화면 54
[그림 4-4] REGA 실행 화면 55
[그림 4-5] 시스템 이미징 파일 56
[그림 4-6] 외장형 저장장치 연결 정보 57
[그림 4-7] 네트워크 연결 정보 58
[그림 4-8] 최근 실행 파일 목록 58
[그림 4-9] 비휘발성 데이터 선별 수집 59
[그림 4-10] 비휘발성 데이터 선별 분석 60
[그림 4-11] 디지털 증거 획득 시간 비교 61
[그림 4-12] 디스크 용량 별 이미징 소요 시간 62