안티 포렌식 행위 탐지를 위한 퍼지 전문가 시스템

김세령 ( Se Ryoung Kim ),김휘강 ( Huy Kang Kim ) 한국인터넷정보학회 2011 인터넷정보학회논문지 Vol.12 No.5

Recently, the importance of digital forensic has been magnified because of the dramatic increase of cyber crimes and the increasing complexity of the investigation of target systems such as PCs, servers, and database systems. Moreover, some systems have to be investigated with live forensic techniques. However, even though live forensic techniques have been improved, they are still vulnerable to anti-forensic activities when the target systems are remotely accessible by criminals or their accomplices. To solve this problem, we first suggest a layer-based model and the anti-forensic scenarios which can actually be applicable to each layer. Our suggested model, the Anti-Forensic Activites layer-based model, has 5 layers - the physical layer, network layer, OS layer, database application layer and data layer. Each layer has possible anti-forensic scenarios with detailed commands. Second, we propose a fuzzy expert system for effectively detecting anti-forensic activities. Some anti-forensic activities are hardly distinguished from normal activities. So, we use fuzzy logic for handling ambiguous data. We make rule sets with extracted commands and their arguments from pre-defined scenarios and the fuzzy expert system learns the rule sets. With this system, we can detect anti-forensic activities in real time when performing live forensic.

경찰 디지털 포렌식 조직구조와 업무과정 개선방안에 관한 연구

신지호(Shin, Ji Ho),최낙범(Choi Nak Bum) 경찰대학 경찰학연구편집위원회 2016 경찰학연구 Vol.16 No.3

범죄 수사에서 디지털 포렌식은 디지털기기에 남아있는 범행 관련 흔적을 찾아 범인추적, 범행입증 등 실체적 진실을 밝히고, 때로는 피의자의 결백을 입증하여 인권을 보호하는 등 다양한 기여를 하고 있다. 수사관들도 디지털 포렌식이 범죄수사에서 반드시 처리해야 할 수사 절차로 인식하고 있다. 대부분의 범죄 발생을 인지하고 있는 경찰에서는 이러한 인식하에 2011년 디지털 포렌식 조직을 확대·개편하여 그 수요에 대응하였고 그 결과 많은 범죄수사에서 디지털 포렌식이 활용되고 있다. 그러나 지방경찰청 위주로 구성된 디지털 포렌식 전담조직과 이에 소속된 인력은 관할 내 발생되는 모든 분석 요구에 대해 적절히 대응하고 있지 않다. 이는 분석의 주체인 분석관과 의뢰자 간 상호 필요한 지식에 대한 격차가 발생하여 명확한 분석 범위 설정에 어려움이 있기 때문이고 더불어 분석 결과를 신속히 회신하지 못해 사건해결에 실제적으로 도움이 되지 않는 경우가 발생하고 있기 때문이다. 디지털 포렌식 전담조직 운영 이래 조직 차원에서 수행되었던 분석 장비의 보급 확대, 분석 인력의 보강과 같은 양적 지원을 넘어 이제는 디지털 포렌식 수요 분석 및 포렌식 업무 절차 개선 등을 통한 효율적 대응이 필요한 것이다. 이를 위해서 디지털 포렌식 거점분석실 설치를 통한 신속 회신구조 마련과 전문상담관과 분석관의 명확한 업무분리가 선행되어야 한다. 증거분석 전문상담관을 운영하여 상담, 접수, 배당 등의 업무를 전담시켜 접점(point-of-contact) 역할을 하도록 하고, 관할 지역을 합리적 기준으로 클러스터링하여 이를 기반으로 권역별 거점분석실을 설치하고 이를 통해 수사관과 분석관 간의 물리적 거리를 축소하여 긴급분석이 가능하도록 해야 할 것이다. 이를 토대로 조직의 기능과 역할을 세분화하고 이에 맞는 업무절차를 새롭게 구성한 합리적인 절차를 도출해내야 한다. 본 논문에서는 현재의 디지털 포렌식 업무절차에 대한 현상 접근을 통해 문제점을 파악하였고 이를 해결하기 위해 전문상담관, 거점분석실을 이용한 디지털 포렌식 분석업무 절차를 제시한다. Digital forensic gives a variety of contributions to track criminals, find out the truth of crime scene, protect human rights of the accused through finding evidence using left on digital devices in criminal investigations. Investigators also have been recognized that digital forensic should be addressed in criminal investigation procedures. Police expanded and reorganized the digital forensic organization for responding to increasing demands. However, it is recognized that recent provincial digital forensic organizations are not adequately responding to all the needs that occur within the jurisdiction. The main problems are delayed reply of the result and a vague range of analysis since there is a disparity about digital forensic knowledge between analysts and requesters(investigators). Therefore, it is time to investigate problems that organizations are faced and to develop effective strategies to improve procedure of digital forensic. In this study, we suggest that a stronghold digital forensic lab should be installed to respond quickly and a clear separation of duty should be prepared between specialized consultant managers and analysts. At first, specialized consultant manager must be responsible for consultant, reception, triage, and perform the role of point-of-contact of their digital forensic lab. Second, far distance between investigators and analysts must be reduced through establishing a stronghold digital forensic lab by clustering of their jurisdiction for emergency analysis. Based on this, we need to refine the roles and functions of the organization and draw reasonable steps to configure a new procedure for this revised digital forensic work process.

표준규정과 판례 비교를 통한 디지털 포렌식의 법적 증거능력 인증기준

정진효,이창무 한국디지털포렌식학회 2017 디지털 포렌식 연구 Vol.11 No.3

The number of digital forensic implementations has been increasing and the scope of application diversifying as well. Digital forensics for securing concrete evidence in criminal investigations has been becoming critical and related technologies developing rapidly. However, the legal system in Korea has been focused heavily on physical evidence with little emphasis on digital evidence for digital forensic. For digital evidence derived from digital forensics to be recognized, integrity, originality, and reliability must be proven. In Korea, digital forensics is mainly used in crime investigation work by the prosecution and the police. In this process, standard guidelines written by each organization are used to acquire integrity, identity and credibility of digital forensic. There is a controversy that the defendant's complaint about the use of digital forensics is raised or that the technology can not be admitted because the guideline is not based on legislation. It is the most obvious way to revise the law, but it will take a long time to come up with laws that can encompass various electronic devices and digital forensic technologies that have been quickly developing. Therefore, supplementing and refining the existing standard guidelines will be more helpful in expanding the scope of digital forensics. To this end, this paper compares domestic and US digital forensic standard guidelines and precedents to analyze the actual standards for obtaining integrity, originality, and reliability. Through the comparison, it is possible to identify the proof standard of the digital forensic objectively, and to identify the factors for developing the Korean standard guidelines. 해가 지나갈수록 디지털 포렌식 실시 횟수는 증가하고 있으며 적용 대상 역시 다양해지고 있다. 범죄수사 과정에서 구체적 증거를 확보하기 위한 디지털 포렌식은 나날이 중요해지고 있으며 관련 기술들 역시 빠르게 발전하고 있다. 하지만 이를 뒷받침해줄 법률체계는 여전히 물리적인 증거에 집중되어 있으며 디지털 포렌식을 뒷받침하기에는 아직 보완해야할 부분들이 산재해 있다. 디지털 포렌식이 도출한 디지털 증거가 공인되기 위해서는 무결성, 동일성, 신뢰성이 입증되어야 한다. 국내에서 디지털 포렌식은 검찰과 경찰의 범죄수사 업무에 주로 사용되며 이 과정에서 무결성, 동일성, 신뢰성을 획득하기 위해 각 조직이 만든 표준규정이 활용되고 있다. 해당 표준규정이 법적인 지위를 획득한 것이 아니기에 디지털 포렌식 사용에 관한 피고측의 불만이 제기되거나 해당 기술을 인정할 수 없다는 반론이 나오곤 한다. 법률을 개정하는 것이 가장 확실한 방법이지만 빠르게 발전하고 있는 각종 전자기기와 디지털 포렌식 기술을 포괄할 수 있는 법이 나오기까지는 오랜 시간이 걸릴 수밖에 없다. 따라서 현재 활용되고 있는 표준 규정을 보완하고 구체화하는 것이 디지털 포렌식의 활용범위를 넓히는데 더 큰 도움이 될 것으로 보인다. 이를 위해 본 논문은 국내와 미국의 디지털 포렌식관련 표준 규정들과 판례들을 비교하여 무결성, 동일성, 신뢰성을 획득하기 위한 실질적 기준이 무엇인지 분석했다. 비교결과를 통해 현재 통용되고 있는 디지털 포렌식의 입증기준을 객관적으로 파악하고 국내 표준규정을 발전시키기 위한 요소들이 무엇인지 확인할 수 있었다.

법최면 수사의 효용성에 대한 연구

윤대중(Youn DaeJung),곽대훈(Kwak DaeHoon) 한국범죄심리학회 2017 한국범죄심리연구 Vol.13 No.1

Although forensic hypnosis investigation is a useful technique to investigate and solve criminal cases, there is virtually no empirical study to examine the effectiveness of forensic hypnotic investigation. Therefore, the primary purpose of this study is to investigate the effectiveness of forensic hypnotic investigation using 86 criminal cases in South Korea. In particular, the current study attempts to examine the empirical relationships between hypnotic susceptibility of subjects and memories in criminal cases where forensic hypnotic investigation was employed in the part of criminal investigations. Based on the 86 cases of the forensic-hypnosis investigation, this study found that the group that has a higher level of the immersion scales in Tellegen (TAS-K) and the sensitivity scales in Harvard (HGSHS-K) reported a higher level of memorial ability even though the result for TAS-K scale was not statistically significant. Overall, the major findings from the analyses implies that forensic-hypnosis investigation results had a significant impact on the increase of memorial ability of suspects. Therefore, it could be concluded that the forensic-hypnosis investigation could be a useful tool for investigating the criminal cases.

포렌식 전문가의 양성을 위한 교과과정 설계에 관한 연구

최명길 한국데이터전략학회 2023 Journal of information technology applications & m Vol.30 No.6

. As society becomes more digital, the need for digital forensics experts are gradually increasing. It is necessary to establish a training policy that reflects the special characteristics of digital forensics personnel. Although there are fragmented policies for digital forensics-related systems and human resources training in academia, it is an urgently necessary to establish a systematic and long-term policy to foster digital forensics experts. This study suggests curriculum of digital forensic based on the importance ranking among forensic subjects. The importance ranking can be decided by forensic experts. This study can be used as policy data to foster diverse talent that can effectively meet the increasing demand for digital forensics talent. The systematic curriculum proposed in this study is a practical curriculum at the undergraduate level and can be suitable for university level

디지털포렌식(Digital Forensic) 전문 인력의 필요성과 양성방안

유영현 ( Young Hyun Yoo ),송봉규 ( Bong Gyu Song ),박상진 ( Sang Jin Park ) 한국경찰학회 2009 한국경찰학회보 Vol.11 No.4

Entering to the information-oriented society, it is greatly increasing that the critical evidences or clues are located in the electronic media including computer in traditional crimes as well as in the online-related ones. Digital evidences are considered importantly as restoring the deleted e-mails is the key to solving the case. Also, digital forensic which defines the legal responsibility or the relations of individuals or the corporations is very important in private sector. Because it is used in civil suits for leaking high-technology. Digital forensic is getting larger in its necessity in the whole field of society due to the increasing demand for solving computer-related crimes, utilizing the analysis of digital evidences. application of the taking evidence, and the enlarged private sector. It is mostly needed to train the expertises in this field. It is pointed that the reduction of training the digital security employees, the institutional inertia on digital evidences, placing too much expertises in the national authorities, and the shortage of private professional training center are the problems to the training the expertise for digital forensic. Hence, it is needed to consolidate the acts on digital forensic and the institutions to handle the tasks and authorities on departments related digital forensic and found the special training center educating the law and IT together professionally on their own.

Android/Windows Mobile Smart Phone의 취약점 분석과 Mobile Forensic 기술

천우성(Woo-Sung Chun),박대우(Dea-Woo Park) 한국컴퓨터정보학회 2011 한국컴퓨터정보학회 학술발표논문집 Vol.19 No.2

Smart Phone의 OS로 많이 사용하는 Android/Windows Mobile Smart Phone의 사용이 급격히 증가하고 있다. 무료 WiFi Zone과 인터넷 사용에 대한 취약점이 존재한다. Mobile Forensic의 증거 자료를 추출하는 방법은 SYN, JTAG, Revolving 방법이 있지만, 기존 휴대폰과 달리 Smart Phone은 OS와 구조, 사용방식과 기술의 차이로 인한 Mobile Forensic 연구 방법도 달라야 한다. 본 논문에서는 Smart Phone에서는 많이 사용되는 Windows Mobile/Android Smart Phone의 OS와 구조 차이를 분석한 데이터 백업과 스펙 분석 및 증거자료 분석을 한다. 또한 무료 WiFi Zone을 통한 인터넷 사용시에 취약점을 분석한다. 그리고 Android/Windows Mobile Smart Phone의 Forensic 자료를 생성하여 증거를 추출하고, Mobile Forensic 보고서를 생성한다. 본 연구를 통하여 Mobile Forensic의 기술 발전에 초석을 제공할 것이다.

논리적 분석 기반의 안드로이드 스마트폰 포렌식 도구 구현

김익수(Ik-Su Kim),안영건(Young-Geon An),이정현(Jeong-Hyun Yi),양승제(Seung-Jei Yang),김명호(Myung-Ho Kim) 한국컴퓨터정보학회 2011 한국컴퓨터정보학회논문지 Vol.16 No.4

In the past, the domestic research on mobile forensics has been limited to cell phones. Increasing use of smart phones, studies on smart phone forensic will be conducted actively in the future. In particular, the study on Android forensic is very important because Android smart phone market share is increasing rapidly. In this paper, we describe an implementation of an Android smart phone forensic tool based on logical analysis. Compared with Oxygen Forensic Suite 2010, this tool saves time it takes to perform Android smart phone forensic because this tool provides search feature and resource links for extracted media information. So far, no smart phone forensic tool is introduced in Korea. Accordingly, this tool would contribute to the advancement of the technology on smart phone forensic.

경찰 현장수사관 대상 디지털 포렌식 교육효과 영향요인에 관한 연구

오주열(Ju-yeol Oh),김상진(Sang Jin Kim),이정훈(Jung Hoon Lee) 학습자중심교과교육학회 2019 학습자중심교과교육연구 Vol.19 No.4

본 연구는 경찰 현장수사관을 대상으로 하는 디지털 포렌식 교육의 효과에 영향을 주는 요인을 도출하여 그 효과를 제고하는 것을 목적으로 한다. 디지털 포렌식 전문인력을 양성하려는 경찰청의 노력으로 전문인력의 수가 증가하고 전문성도 높아 지고 있으나 디지털증거 압수·수색현장지원 요청에 모두 응답하기에는 한계가 있다. 대부분의 수사에서 일반수사관이 직접 압수·수색을 담당하고 있으므로, 수사관의 관련 지식 및 기술력 향상을 위해 지방경찰청의 직무교육 과정으로 디지털 포렌식 교육이 진행되고 있다. 아직까지 동 분야에서 현장수사관 대상 교육의 선행 연구가 거의 없기에, 교육효 과를 높일 수 있는 방법을 찾고자 그 영향요인에 관한 연구를 진행하였다. 본 연구는 2016∼2017년 서울지방경찰청의 ‘디지털 포렌식 기초과정’을 이수한 경찰 수사관 260명을 대상으로 진행되었다. 연구 결과, 개인적 특성으로 사용하였던 독립변수인 자기효능감, 사명감, 디지털증거 수사활용 경험은 매개변수인 교육만족도에 유의미한 영향을 주지 못하는 것으로 나타났다. 교육설계 요인에서는 강의내용이 제일 높게 정적 영향을 주었고, 이어서 디지털 포렌식 실습환경, 조직지원 요인, 교수자 교수능력의 순서대로 유의미한 영향요인으로 나타났다. 매개변수인 교육만족도와 종속변수인 교육효과 간에는 높은 확률로 정적인 영향관계가 있음이 확인되었다. 경찰 현장수사관 대상 디지털 포렌식 교육효과를 높이기 위해서는 수사실무 과정 중에서 겪을 수 있는 어려움을 해결하는데 도움이 되는 내용으로 강의를 구성하고, 현장용 포렌식 도구를 실습해 볼 수 있는 경험을 제공하여 활용도를 높일 필요가 있다. 또한 교수자의 전문성 신장과 현장수사관들에 대한 관심 및 지원분위기 조성이 필요하다. This study aimed to examine methods to improve the educational effects by drawing factors influencing the digital forensic educational effects, targeting police crime scene investigators. Owing to the National Police Agency s efforts, the number of professional manpower and professionalism in digital forensic area have been increased while the current manpower is not sufficient enough to respond to all the requests for supporting digital evidence confiscation/search sites. As general investigators are directly in charge of confiscation/search in most of the digital evidence confiscation/search sites, to improve the digital forensic-related knowledge and techniques of investigators, the digital forensic education is performed as a job education course of local police agencies. However, there are almost no researches on the education targeting crime scene investigators in the digital forensic area. Thus, this study examined the influence factors to find methods to increase the educational effects for police crime scene investigators. In the results of this study, the independent variables used as personal characteristics such as self-efficacy, sense of duty, and experience in using digital evidence for investigation did not have significant effects on the educational satisfaction. The lecture contents showed the highest positive effects on the educational satisfaction. Between educational satisfaction as a mediating variable and educational effects as a dependent variable, there were highly positive influence relations. Therefore, to increase the digital forensic educational effects for police crime scene investigators, the lecture contents should be composed of contents helpful for trainees to solve difficulties in the actual process of investigation. Also, the utilization should be improved by providing experiences for sites. And the preparation and professionalism of instructors should be improved by putting efforts to cultivate instructors. The organization itself also should establish the atmosphere to have interest in and support investigators using the knowledge and techniques learnt from education.

High-speed search using Tarari content processor in digital forensics

Lee, J.,Un, S.,Hong, D. Elsevier 2008 Digital investigation Vol.5 No.suppl

Recently, ''Speed'' is one of the hot issues in digital forensics. Thanks to a recent advanced technology, today we can get bigger hard drive disks at a lower price than previously. But unfortunately, it means for forensic investigators that they need tremendous time and effort in the sequence of process of creating forensic images, searching into them and analyzing them. In order to solve this problem, some methods have been proposed to improve performance of forensic tools. One of them getting attention is a hardware-based approach. However, such a way is limited in the field of evidence cloning or password cracking while it is rarely used in searching and analysis of the digital evidence. In this paper, we design and implement a high-speed search engine using a Tarari content processor. Furthermore, we show feasibility of our approach by comparing its performance and features to those of a popular forensic tool currently on the market.