公开(公告)号：KR101078288B1

公开(公告)日：2011-10-31

申请号：KR1020090077732

申请日：2009-08-21

Applicant: 한국전자통신연구원

Inventor： 김기범 ,  황현욱 ,  신영찬 ,  장태주 ,  이철원 ,  백승재

IPC: G06F15/00 ,  G06F11/00 ,  G06F17/30

CPC classification number: G06Q10/10

Abstract: 본발명은디지털포렌식에서대상컴퓨터의저장매체에내장된링크정보를분석하여해당원본파일까지증거로수집함으로써증거의정확성과효율성을높이는기술에관한것이다. 이를위하여, 운영체제및 어플리케이션소프트웨어에의하여생성되는링크정보를식별및 분석하여원본파일의존재여부를파악한다. 이를통하여조사대상컴퓨터뿐만아니라원격컴퓨터에존재하는원본파일을수집함으로써증거자료의유효성을높일수 있다.

公开(公告)号：KR1020110021125A

公开(公告)日：2011-03-04

申请号：KR1020090078742

申请日：2009-08-25

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  장태주 ,  이철원

IPC: G06F15/00 ,  G06F12/00 ,  G06F9/00

CPC classification number: G06F11/1435

Abstract: PURPOSE: A partition recovery method is provided to generate a virtual volume of the deleted partition in an evidence image and access the virtual volume. CONSTITUTION: A partition recovery apparatus reads partition recovery information(S710). The partition recovery apparatus recognizes a confirmed boot record as a boot record of a virtual volume(S720). The apparatus generates the structure of the virtual volume(S730). The apparatus performs the parsing of a file system(S740). The apparatus recovers a deleted file or a directory. The apparatus generates a tree structure of a file or a directory through a user interface module(S750).

Abstract translation: 目的：提供分区恢复方法来生成证据图像中已删除分区的虚拟卷并访问虚拟卷。 构成：分区恢复装置读取分区恢复信息（S710）。 分区恢复装置将确认的引导记录识别为虚拟卷的引导记录（S720）。 该装置生成虚拟卷的结构（S730）。 该装置执行文件系统的解析（S740）。 设备恢复已删除的文件或目录。 该装置通过用户接口模块生成文件或目录的树结构（S750）。