표제지
목차
국문 요약 10
1. 서론 12
1.1. 연구 배경 12
1.2. 관련 연구 13
1.3. 분석 환경 15
2. Windows 환경에서의 애플리케이션 데이터 분석 17
2.1. Cryptomator 애플리케이션 분석 17
2.1.1. 암호화된 데이터 구조 17
2.1.2. 암호화 과정 분석 21
2.1.3. 패스워드 획득 방안 26
2.2. Norton Ghost 애플리케이션 분석 27
2.2.1. 암호화된 데이터 구조 28
2.2.2. 암호화 과정 분석 32
2.2.3. 패스워드 획득 방안 35
3. Android 환경에서의 애플리케이션 데이터 분석 37
3.1. TigerConnect 애플리케이션 분석 37
3.1.1. 암호화 과정 분석 38
3.1.2. 아티팩트 분석 결과 39
3.2. TeamUp 애플리케이션 분석 41
3.2.1. 암호화 과정 분석 42
3.2.2. 아티팩트 분석 결과 43
3.3. Agit 애플리케이션 분석 45
3.3.1. 암호화 과정 분석 46
3.3.2. 아티팩트 분석 결과 48
4. iOS 환경에서의 애플리케이션 데이터 분석 49
4.1. NaverWORKS 애플리케이션 분석 49
4.1.1. 아티팩트 분석 결과 50
4.1.2. 삭제된 데이터 식별 방안 55
4.2. JANDI 애플리케이션 분석 58
4.2.1. 아티팩트 분석 결과 58
4.2.2. 삭제된 데이터 식별 방안 61
5. 결론 63
참고 문헌 65
Abstract 68
[표 1-1] 분석 환경 16
[표 2-1] vault.cryptomator 파일의 세부 데이터 18
[표 2-2] 암호화된 백업 파일의 헤더 구조 29
[표 2-3] 암호화된 백업 파일의 바디 구조 30
[표 2-4] 암호화된 드라이브의 백업 데이터 구조 31
[표 3-1] ttandroid.db 파일 내 첨부파일 관련 아티팩트 39
[표 3-2] ttandroid.db 파일 내 채팅 관련 아티팩트 40
[표 3-3] ttandroid.db 파일 내 구성원 관련 아티팩트 41
[표 3-4] TeamUP_v5.db 파일 내 채팅 관련 아티팩트 44
[표 3-5] TeamUP_v5.db 파일 내 구성원 관련 아티팩트 44
[표 3-6] TeamUP_v5.db 파일 내 팀과 그룹 관련 정보 45
[표 3-7] default.realm 파일 내 채팅 관련 아티팩트 48
[표 3-8] 파일 접근을 위해 변경된 download_url 49
[표 4-1] 경로에 따른 채팅 및 채팅방 관련 아티팩트 51
[표 4-2] OneChat.sqlite 파일 내 채팅 및 채팅방 관련 아티팩트 51
[표 4-3] ZEXTRAS 컬럼 내 채팅 관련 아티팩트 53
[표 4-4] ZONECHATENTITYOWNERINFO 테이블 내 사용자 및 그룹 관련 아티팩트 54
[표 4-5] NaverWORKS 애플리케이션 기능에 따라 삭제된 데이터 식별 및 복구 가능성 여부 파악 56
[표 4-6] JandiCoreData.sqlite 파일 내 채팅 및 댓글 관련 아티팩트 59
[표 4-7] JandiCoreData.sqlite 파일 내 전송한 이미지 및 파일 관련 아티팩트 60
[표 4-8] JandiCoreData.sqlite 파일 내 전송한 링크 관련 아티팩트 61
[표 4-9] JANDI 애플리케이션 기능에 따라 삭제된 데이터 식별 및 복구 가능성 여부 파악 62
[표 4-10] ZRESMESSAGES_LINKMO 테이블과 비교해야 하는 기능별 테이블 63
(그림 2-1) Cryptomator 애플리케이션의 데이터 구조 18
(그림 2-2) masterkey.cryptomator 파일의 세부 데이터 19
(그림 2-3) 암호화된 파일 구조 20
(그림 2-4) 암호화된 파일의 헤더 구조 20
(그림 2-5) MEK와 MMK 생성 및 암호화 과정 22
(그림 2-6) 파일 헤더의 암호화 과정 23
(그림 2-7) 파일 내용의 암호화 과정 24
(그림 2-8) 암호화 대상 파일이 저장되는 디렉터리의 UUID 구조 24
(그림 2-9) 파일명 암호화 과정 25
(그림 2-10) 암호화된 파일명 구조 25
(그림 2-11) keychain.json 파일 내 데이터 26
(그림 2-12) 복호화된 사용자 패스워드 26
(그림 2-13) Norton Ghost 애플리케이션의 백업 기능 27
(그림 2-14) Norton Ghost 애플리케이션의 암호화 옵션 27
(그림 2-15) Norton Ghost 애플리케이션의 백업 파일 구조 28
(그림 2-16) Norton Ghost 애플리케이션의 블록 카운터 33
(그림 2-17) 백업 데이터의 암호키 생성 과정 33
(그림 2-18) 카운터 생성 과정 34
(그림 2-19) DPAPI로 암호화되어 있는 사용자 패스워드 35
(그림 2-20) 복호화된 DPAPI BLOB 36
(그림 2-21) 복호화된 사용자 패스워드 36
(그림 3-1) TigerConnect 애플리케이션의 데이터 구조 37
(그림 3-2) TigerConnect 애플리케이션 암호화에 사용된 PassPhrase 생성 과정 38
(그림 3-3) tigertext_default.xml 파일 내 저장된 key01, key02와 salt 38
(그림 3-4) TigerConnect 애플리케이션의 복호화 결과 39
(그림 3-5) TeamUp 애플리케이션의 데이터 구조 42
(그림 3-6) TeamUp 애플리케이션 암호화에 사용된 PassPharse 생성 과정 42
(그림 3-7) settings_ssaid.xml 파일 내 저장된 android_id 42
(그림 3-8) TeamUp 애플리케이션의 복호화 결과 43
(그림 3-9) Agit 애플리케이션의 데이터 구조 46
(그림 3-10) Agit 애플리케이션 암호화에 사용된 PassPhrase 생성 과정 46
(그림 3-11) 고정된 byte 배열 47
(그림 3-12) Agit 애플리케이션의 복호화 결과 47
(그림 4-1) NaverWORKS 애플리케이션의 데이터 구조 50
(그림 4-2) NaverWORKS 애플리케이션 채팅으로 전송한 이미지 및 파일 53
(그림 4-3) 채팅 및 채팅방 관련 테이블을 통해 재구성된 채팅 기록 55
(그림 4-4) NaverWORKS 애플리케이션의 삭제된 데이터 식별 방안 56
(그림 4-5) NaverWORKS 애플리케이션의 삭제된 데이터 복구 방안 57
(그림 4-6) JANDI 애플리케이션의 데이터 구조 58
(그림 4-7) 채팅 및 채팅방 관련 테이블을 통해 재구성된 채팅 기록 60
(그림 4-8) JANDI 애플리케이션의 삭제된 데이터 식별 방안 62