公开(公告)号：KR1020110020051A

公开(公告)日：2011-03-02

申请号：KR1020090077732

申请日：2009-08-21

Applicant: 한국전자통신연구원

Inventor： 김기범 ,  황현욱 ,  신영찬 ,  장태주 ,  이철원 ,  백승재

IPC: G06F15/00 ,  G06F11/00 ,  G06F17/30

CPC classification number: G06Q10/10

Abstract: PURPOSE: A collection evidence method and an apparatus thereof, capable of collecting a used file and an access file are provided to maximize the validity of the evidence collection by collecting the used file through the analysis of a link file. CONSTITUTION: An access module(200) accesses a storage medium of a target computer. A file system analysis module(300) analyzes a file system of the storage medium. A link analysis module(500) analyzes a link file through the file system analysis module. A raw file extracting module(600) extracts the original file by using path of the original file. A UI(User Interface) module(800) displays the content of the original file and link information.

Abstract translation: 目的：提供能够收集使用的文件和访问文件的收集证据方法及其装置，以通过分析链接文件收集使用的文件来最大化证据收集的有效性。 构成：访问模块（200）访问目标计算机的存储介质。 文件系统分析模块（300）分析存储介质的文件系统。 链接分析模块（500）通过文件系统分析模块分析链接文件。 原始文件提取模块（600）通过使用原始文件的路径提取原始文件。 UI（用户界面）模块（800）显示原始文件和链接信息的内容。

公开(公告)号：KR1020060068554A

公开(公告)日：2006-06-21

申请号：KR1020040107274

申请日：2004-12-16

Applicant: 한국전자통신연구원

Inventor： 박유미 ,  김기범 ,  성기순 ,  이용주 ,  최진영 ,  최영일 ,  이병선

IPC: G06Q10/02

CPC classification number: G06Q10/02

Abstract: WAP 프레임워크 상에서 개방형 서비스 인터페이스를 이용한 티켓예매 서비스 제공 시스템 및 방법이 개시된다. 제1예매처리부는 사용자 단말기로 차량별 잔여좌석을 포함하는 운행정보를 제공하고, 사용자 단말기로부터 수신된 출발역, 도착역, 출발시간, 좌석수를 포함하는 예매정보를 기초로 사용자의 예매요청을 처리한다. 제2예매처리부는 사용자가 요청한 예매가 불가능한 경우에 사용자 단말기로부터 예매정보 및 사용자의 이동단말기의 번호를 포함하는 자동예매신청정보를 수신받아 저장하고, 예매취소를 포함하는 변경요인에 의해 추가로 확보된 예매가능한 티켓 중에서 자동예매신청정보에 포함되어 있는 예매정보에 대응하는 티켓을 예매한다. 예매통지부는 사용자가 요청한 예매정보에 대응하는 티켓의 예매가 완료되면, 개방형 서비스 게이트웨이의 메시징 서비스 인터페이스를 호출하여 PPG게이트웨이를 통해 예매결과를 안내하는 시스템의 전화번호를 콜백 URL로 설정하여 사용자의 이동단말기로 전송하고, 사용자의 이동단말기에 의해 요청된 콜백호를 통해 티켓의 예매상황을 사용자에게 통지한다. 본 발명에 따르면, 티켓예매 상황이 변경된 경우 사용자가 요청한 조건에 부합하는 티켓을 자동으로 예매한 후 사용자의 이동단말로 통지함으로써, 사용자의 티켓 예매를 위한 시간과 노력을 절약하는 동시에 예매 성공율을 높일 수 있다.

公开(公告)号：KR101593184B1

公开(公告)日：2016-02-15

申请号：KR1020140122563

申请日：2014-09-16

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용

IPC: G06F17/30

CPC classification number: G06F11/1435 ,  G06F11/1417 ,  G06F11/1451 ,  G06F11/1469 ,  G06F11/2058 ,  G06F11/2069 ,  G06F2201/84

Abstract: 디스크의파티션구성정보인마스터부트레코드및 GPT, 볼륨의구성정보를저장하는부트레코드및 백업부트레코드가삭제되거나또는파괴되었을때 $MFT의 MFT 엔트리정보만을이용하여파티션복구시필요한핵심정보를계산하여삭제된파티션을복구하도록하는파일시스템메타데이터기반파티션복구방법및 장치를제시한다. 제시된방법은디스크또는증거이미지에서미할당영역을판별하는단계, 미할당영역을대상으로 MFT 엔트리를수집하는단계, MFT 엔트리를분석하여 MFT 파티션후보정보를생성하는단계, 및 MFT 파티션후보정보를기반으로파티션의레이아웃을재구성할수 있는정보를생성하고, 생성된정보및 MFT 엔트리를이용하여트리구조를생성하는단계를포함한다.

Abstract translation: 建议的是一种基于文件系统元数据恢复分区的方法和装置，该文件系统元数据通过使用$ MFT的MFT条目信息来计算分区恢复所需的核心信息，并且当主引导记录和GPT是分区时恢复已删除的分区 删除或损坏磁盘的组件信息，存储卷的组件信息的引导记录和备份引导记录。 该方法包括：确定盘或证据图像中的未分配区域的步骤; 从非分配区域收集MFT条目的步骤; 通过分析MFT条目来生成MFT分割候选信息的步骤; 以及基于所述MFT分割候补信息生成用于重新配置所述分区的布局的信息的步骤，以及通过使用所生成的信息和所述MFT条目来生成树结构。

公开(公告)号：KR101078288B1

公开(公告)日：2011-10-31

申请号：KR1020090077732

申请日：2009-08-21

Applicant: 한국전자통신연구원

Inventor： 김기범 ,  황현욱 ,  신영찬 ,  장태주 ,  이철원 ,  백승재

IPC: G06F15/00 ,  G06F11/00 ,  G06F17/30

CPC classification number: G06Q10/10

Abstract: 본발명은디지털포렌식에서대상컴퓨터의저장매체에내장된링크정보를분석하여해당원본파일까지증거로수집함으로써증거의정확성과효율성을높이는기술에관한것이다. 이를위하여, 운영체제및 어플리케이션소프트웨어에의하여생성되는링크정보를식별및 분석하여원본파일의존재여부를파악한다. 이를통하여조사대상컴퓨터뿐만아니라원격컴퓨터에존재하는원본파일을수집함으로써증거자료의유효성을높일수 있다.

公开(公告)号：KR1020110021125A

公开(公告)日：2011-03-04

申请号：KR1020090078742

申请日：2009-08-25

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  장태주 ,  이철원

IPC: G06F15/00 ,  G06F12/00 ,  G06F9/00

CPC classification number: G06F11/1435

Abstract: PURPOSE: A partition recovery method is provided to generate a virtual volume of the deleted partition in an evidence image and access the virtual volume. CONSTITUTION: A partition recovery apparatus reads partition recovery information(S710). The partition recovery apparatus recognizes a confirmed boot record as a boot record of a virtual volume(S720). The apparatus generates the structure of the virtual volume(S730). The apparatus performs the parsing of a file system(S740). The apparatus recovers a deleted file or a directory. The apparatus generates a tree structure of a file or a directory through a user interface module(S750).

Abstract translation: 目的：提供分区恢复方法来生成证据图像中已删除分区的虚拟卷并访问虚拟卷。 构成：分区恢复装置读取分区恢复信息（S710）。 分区恢复装置将确认的引导记录识别为虚拟卷的引导记录（S720）。 该装置生成虚拟卷的结构（S730）。 该装置执行文件系统的解析（S740）。 设备恢复已删除的文件或目录。 该装置通过用户接口模块生成文件或目录的树结构（S750）。

公开(公告)号：KR1020090035221A

公开(公告)日：2009-04-09

申请号：KR1020070100366

申请日：2007-10-05

Applicant: 한국전자통신연구원

Inventor： 김기범 ,  박상서

IPC: G06F17/30

CPC classification number: G06F17/30106

Abstract: An apparatus and a method for searching data by using a character encoding type which is predicted in a digital forensic are provided to improve the accuracy and effectiveness of search by predicting a character encoding type in data including evidence. An imaging module(111) produces an image file from data source(120). A file system analysis module(113) analyzes the file system of the image file and generates file system analysis information. A search module(114) determines a character encoding type for search. The search about data is performed by using the character encoding type for search. A user interface(115) receives a command relating to search from the user. A user interface transmits search command to the file system analysis module and search module. The user interface outputs the search result to the user. The file storing part(112) stores the image file. A default character encoding type table maps the name of the operating system, a version and a default character encoding type.

Abstract translation: 提供了一种使用以数字法医预测的字符编码类型来搜索数据的装置和方法，以通过预测包括证据在内的数据中的字符编码类型来提高搜索的准确性和有效性。 成像模块（111）从数据源（120）产生图像文件。 文件系统分析模块（113）分析图像文件的文件系统并生成文件系统分析信息。 搜索模块（114）确定用于搜索的字符编码类型。 通过使用用于搜索的字符编码类型来执行关于数据的搜索。 用户接口（115）从用户接收与搜索有关的命令。 用户界面向文件系统分析模块和搜索模块发送搜索命令。 用户界面将搜索结果输出给用户。 文件存储部（112）存储图像文件。 默认字符编码类型表映射操作系统的名称，版本和默认字符编码类型。

公开(公告)号：KR101688631B1

公开(公告)日：2016-12-21

申请号：KR1020150103239

申请日：2015-07-21

Applicant: 한국전자통신연구원

Inventor： 양승제 ,  최정호 ,  김기범 ,  장태주

IPC: G06F21/50 ,  G06F21/57 ,  G06F12/02

CPC classification number: G06F3/0652 ,  G06F3/0623 ,  G06F3/0679 ,  G06F9/4403 ,  G06F11/004 ,  G06F11/07 ,  G06F11/0703 ,  G06F11/0706 ,  G06F11/0727 ,  G06F11/0751 ,  G06F11/0778 ,  G06F11/0796

Abstract: 포렌식데이터획득장치및 방법이개시된다. 본발명의일실시예에따른포렌식데이터획득장치는스마트기기의부트로더(Boot-Loader) 및 USB 모듈을활성화하고, 상기부트로더를이용하여플래시메모리읽기명령포맷을분석하는명령분석부; 상기플래시메모리읽기명령을이용하여상기플래시메모리의파티션정보를분석하는파티션정보분석부; 및상기플래시메모리읽기명령및 상기파티션정보에기반하여상기플래시메모리내부의데이터에대한덤프(dump)를수행하여덤프이미지를생성하고, 상기덤프이미지에기반하여포렌식데이터를획득하는데이터획득부를포함한다.

Abstract translation: 取证数据采集装置及方法。 根据实施例的取证数据获取装置包括用于激活智能设备的引导加载程序和通用串行总线（USB）模块的命令分析单元，并且基于引导的分析结果来分析闪存读取命令的格式 加载器，用于根据闪速存储器读取命令分析闪速存储器的分区信息的分区信息分析单元，以及用于通过基于闪存读取命令转储存储在闪速存储器中的数据来生成转储映像的数据获取单元， 分区信息，以及基于转储映像获取取证数据。

公开(公告)号：KR101688629B1

公开(公告)日：2016-12-21

申请号：KR1020150160868

申请日：2015-11-17

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용 ,  지성택

IPC: G06F11/14 ,  G06F3/06

CPC classification number: G06F11/1469 ,  G06F11/1435 ,  G06F17/30138 ,  G06F2201/80

Abstract: 메타데이터및 데이터클러스터를이용하는파일시스템복구방법및 장치가제공된다. 파일시스템복구장치는, 디스크또는증거이미지에서 MFT 엔트리리스트를생성하고, 적어도하나의데이터클러스터후보를수집하고, MFT 엔트리리스트내의적어도하나의 MFT 엔트리및 상기적어도하나의데이터클러스터후보를사용하여적어도하나의 MFT 엔트리-데이터클러스터쌍 후보를생성한다. 파일시스템복구장치는적어도하나의 MFT 엔트리-데이터클러스터쌍 후보에대한분석을수행함으로써가상파티션의속성값을결정하고, 속성값에기반하여가상파티션을생성한다.