earticle

영어

This research proposes a new digital forensic method for a distinction of file commands in Windows NTFS file system. The proposed method is to distinct what command is executed only by comparing timestamp change pattern before and after a file command execution. The proposed method is composed of three parts, i.e. TCC & CC(Timestamp Change Check & Code Conversion) function, B2D(Binary to Decimal) conversion function, and FDD(Forensic Decision Decoder) function. Each input of the TCC & CC for timestamps of 8 timestamps in $SI and $FN is assigned 2 bits respectively and it produces 16 bit code. The code is converted into a decimal value by the B2D conversion function. The decimal value is decoded into a forensic output by the FDD function. The proposed method gives a forensic way to distinct executed file command. With three forensic cases, i.e. a file creation, a file copy and a file overwrite-a source file left command, the proposed forensic method is verified for its usefulness.

한국어

이 논문에서는 윈도우즈 NTFS 파일시스템에서 파일명령을 구분할 수 있는 새로운 디지털 포렌식 방법을 제안한다. 제안한 방법은 파일명령을 수행할 때 타임스탬프의 변화가 생기는 것을 이용하여 어떤 파일명령이 실행되었는지 구분하는 기능을 수행한다. 이것을 구현하기 위하여 TCC & CC(Timestamp Change Check & Code Conversion) 함수, B2D(Binary to Decimal) 변환함수, FDD(Forensic Decision Decoder) 함수 등의 3가지 함수를 구현한다. TCC & CC는 $SI와 $FN 속성에 들어 있는 각 4개씩 모두 8개의 타임스탬프의 변화에 대해 각각 2비트를 할당하여 전체 16비트 코드 를 만드는 기능을 하고, B2D변환 함수는 이것을 10진수로 변환하여 해당 값을 FDD 함수에 입력하여 디코드된 포렌식을 위한 출력값을 만든다. 제안된 방법을 파일생성, 파일복사, 파일덮어쓰기-소스남김 사례에 적용하여 타임스탬프의 변화에 의해서 어떤 파일명령이 수행되었는지 구분한 결과를 보이기 로 한다.