earticle

영어

One of the most frequently asked questions as a forensic investigator in the mobile phones is the possibility of recovering old text messages (SMS messages) which often can be a crucial element to solve the case. The actual rate of successful recovery of SMS messages (saved or deleted) depends on the volume of memory and the file system manipulation at the Operating Systems level but no study has been done to conduct an actual experiment to confirm and refute any given theory. In this paper, we systematically conduct an experiment on three most commonly found mobile phones during real investigations in the fields to find any temporal or spatial relationships between deleted SMS messages and newly arriving ones. The result showed the significance of proper handling of evidentiary phones found in the crime scene to avoid any accidental or nefarious permanent deletion of SMS messages which would otherwise be a clinching component to the case.

한국어

휴대폰을 분석하는 디지털포렌식 실무자로서 수사관들로부터 가장 많이 받은 질문은 문자메시지의 복원 가능성에 관련된 것이다. 실제로 저장되거나 삭제된 문자메세지의 복원율은 저장매체의 용량과 운영체제 수준의 파일시스템을 다루는 방법에 의존한다고 알려져 있고 이를 반박하는 이론이나 연구는없다. 본 연구는 일반적으로 사용하는 휴대폰 3개의 모델에 대해서 동일한 조건에서 문자메시지를 발신하는 실험을 통해 문자메시지가 수신되었을 때 기존에 복원 가능한 문자메시지에 미치는 시간적, 공간적 관계에 대해서 실험을 통해 확인하고 그 결과를 규명하고자 한다. 결과적으로 사건을 해결하기 위해서뿐만 아니라 어떤 사고나 범죄에서 문자메시지가 완전 삭제되는 것을 방지하기 위하여 범죄현장 등에서 수집된 휴대폰이 적정한 절차에 의해서 다루어져야 한다는 것을 인지하였다.