earticle

영어

These days, digital forensic technologies are being used frequently at crime scenes. There are various electronic devices at the scene of the crime, and digital forensic results of these devices are used as important evidence. In particular, the user's action and the time when the action took place are critical. But there are many limitations for use in real forensics analyses because of the short cycle in which user actions are recorded. This paper proposed an efficient method for recovering deleted user behavior records and applying them to forensics investigations, then the proposed method is compared with previous methods. Although there are difference in recovery result depending on the storage, the results have been identified that the amount of user history data is increased from a minimum of 6% to a maximum of 539% when recovered user behavior was utilized to forensics investigation.

한국어

최근 디지털 범죄 수사는 많은 범죄 현장에서 사용되고 있다. 범죄 현장에서는 다양한 전자 장치가 존재하 며, 이러한 장치의 디지털포렌식(Digital Forensics) 결과는 중요한 증거로 사용된다. 특히, 디지털포렌식에서 사용 자의 행동과 해당 행동이 발생한 시간은 매우 중요한 정보이다. 하지만 사용자의 행동이 기록되는 주기가 짧은 한계점을 가지고 있다. 이러한 특징은 실제 디지털포렌식의 제한 요소로 작용한다. 본 논문에서는 삭제된 사용자 행동 레코드를 복구하고 이를 디지털포렌식에 적용하였으며, 이전 조사 방법과 차이점을 비교하였다. 스토리지에 따라 복구 결과에는 차이가 존재하지만 복구 된 사용자의 동작이 디지털포렌식에 활용 될 때, 사용자 행위 기록이 최소 6%에서 최대 539%로 증가하는 결과를 보여준다.