-
公开(公告)号:KR1020140000369A
公开(公告)日:2014-01-03
申请号:KR1020120067113
申请日:2012-06-22
Applicant: 고려대학교 산학협력단 , 대한민국(관리부서 대검찰청)
CPC classification number: G06F17/30011 , G06F17/2705
Abstract: The present invention relates to a forensic analysis method and a system for document files. The forensic analysis method comprises the following steps: a file receiving step receiving a file which is an object to be forensically analyzed; a file area checking step checking if there is a normal area or an unassigned area in the received file; a file searching step searching a compound document file in the normal or unassigned areas; a verifying step verifying the compound document file; and a data restoring step restoring data in the unassigned area of the compound document file. The forensic analysis method and system for document file can restore data stored in a damaged compound document file or an unassigned area of a damaged compound document file in which data is not assigned. [Reference numerals] (AA) Start; (BB) Receiving a file for performing forensic analysis; (CC) Mounted storage device; (DD) File/directory; (EE) Dump file in the unassigned area of a file; (FF) End; (S121) Kind of the file?; (S122) Analyzing a file system for determining into a normal area or the unassigned area; (S123) Received file is determined to be at the unassigned area; (S124) Received file is determined to be at the normal area; (S130) Searching a compound document file present in the normal area or unassigned area of the file; (S140) Validation for the searched compound document file is performed; (S150) Restoring of data in the unassigned area of the compound document file
Abstract translation: 本发明涉及法医分析方法和文件档案系统。 取证分析方法包括以下步骤:文件接收步骤,接收作为法医分析对象的文件; 文件区域检查步骤检查所接收的文件中是否存在正常区域或未分配区域; 在正常或未分配区域中搜索复合文档文件的文件搜索步骤; 验证复合文档的验证步骤; 以及数据恢复步骤,恢复复合文档文件的未分配区域中的数据。 文件文件的取证分析方法和系统可以恢复存储在未分配数据的损坏的复合文档文件或未分配区域的数据。 (附图标记)(AA)开始; (BB)接收文件进行法医分析; (CC)安装的存储设备; (DD)文件/目录; (EE)在文件的未分配区域中转储文件; (FF)结束; (S121)文件的种类? (S122)分析用于确定为正常区域或未分配区域的文件系统; (S123)接收文件确定为未分配区域; (S124)接收文件确定为正常区域; (S130)搜索文件的正常区域或未分配区域中存在的复合文档文件; (S140)执行搜索到的复合文档文件的验证; (S150)在复合文档文件的未分配区域中恢复数据
-
Patent Agency Ranking
公开(公告)号:KR1020120065819A
公开(公告)日:2012-06-21
申请号:KR1020100127132
申请日:2010-12-13
Applicant: 고려대학교 산학협력단
CPC classification number: G06Q30/02 , G06F21/50 , G06F11/34 , G06F17/30312 , G06F17/30557
Abstract: PURPOSE: A digital forensic apparatus for analyzing the user activities is provided to output analyzed data in time sequencing, collecting desired data in time sequencing and automatically analyzing the collected data. CONSTITUTION: A virtual keyboard input device comprises: a collecting unit(102) collecting analysis information relative to user behavior from a target device needing user behavior analysis by the collecting unit; an analysis unit(104) analyzing user behavior information by analysis information, arranging the behavior information in time sequencing, and displaying the arranged behavior information.
Abstract translation: 目的:提供用于分析用户活动的数字取证设备,以时间序列输出分析数据,在时间序列中收集所需数据,并自动分析收集的数据。 构成:虚拟键盘输入装置包括:收集单元,从收集单元收集需要用户行为分析的目标装置的相对于用户行为的分析信息; 分析单元(104),通过分析信息分析用户行为信息,按时间排列布置行为信息,并显示排列的行为信息。
-
公开(公告)号:KR101745873B1
公开(公告)日:2017-06-27
申请号:KR1020150182057
申请日:2015-12-18
Applicant: 고려대학교 산학협력단
Abstract: 본발명은악성문서파일식별시스템및 방법에관한것으로, 악성여부확인이필요한문서파일을입력받는단계와, 상기문서파일의계층구조가확인가능한지파악하는제 1 분석단계와, 상기문서파일에서파일구조에따라기설정된필수문서계층구조를확인하는제 2 분석단계와, 상기문서파일에서계층요소마다올바른구조로저장되었는지검증하는제 3 분석단계와, 상기문서파일의미할당영역을분석하여악성실행파일또는악성코드의유무를확인하는제 4 분석단계및 상기제 1 내지제 4 분석단계의결과를통합하여상기문서파일의상태를판단하는단계를포함하여구성된다. 상기와같이구성된본 발명에따른악성문서파일식별시스템및 방법에의하면, 문서파일을직접실행하지않고새롭게나타난악성문서파일을탐지할수 있으며, 문서파일의악성여부와함께손상된파일에대해서도탐지할수 있고, 매크로기능을사용하는악성문서파일에대한탐지율도향상시키는효과가있다.
-
公开(公告)号:KR101575246B1
公开(公告)日:2015-12-21
申请号:KR1020140177740
申请日:2014-12-10
Applicant: 고려대학교 산학협력단
Abstract: 본발명은 SQLite 데이터베이스파일내 손상된레코드의복원방법에관한것으로서, 보다바람직하게는 DB파일판단부가외부로부터데이터를입력받아, 입력데이터가 SQLite 데이터베이스파일인지여부를판단하는단계; 손상여부판단부가상기입력데이터가 SQLite 데이터베이스파일인경우, 상기입력데이터에대한손상여부를판단하는단계; 스캔부가상기입력데이터가손상된경우, 상기입력데이터를바이트스캔하여상기데이터베이스파일내 페이지의시작지점과페이지의크기를탐색하는단계; 스키마정보획득부가탐색된페이지의시작지점과크기에기초하여정상레코드에사용되는스키마정보를획득하는단계; 및레코드복원부가획득한스키마정보에기초하여손상된레코드를복원하는단계;를포함한다. 이러한구성에의해, 본발명의 SQLite 데이터베이스파일내 손상된레코드의복원방법은 SQLite 데이터베이스의파일구조인 B-트리를따라순회하며획득한스키마정보를이용하여손상된레코드를복원함으로써, 특정응용프로그램이나파일시스템에종속되지않으며적은오탐률로모든경우의 SQLite 데이터베이스에대하여범용적으로사용할수 있는효과가있다.
Abstract translation: 本发明涉及一种在SQLite数据库文件中恢复损坏记录的方法,更优选地包括:DB文件确定单元从外部接收数据并确定输入数据是否为SQLite数据库文件的步骤; 如果所述输入数据是所述SQLite数据库,则确定所述输入数据是否已被损坏的损伤确定单元的步骤; 扫描单元的步骤,用于扫描输入数据的字节,并且如果输入数据已被损坏,则检测数据库文件中的起始点和页面的大小; 基于搜索页面的开始点和大小,获取用于正常记录的模式信息的模式信息获取单元的步骤; 以及用于根据模式信息恢复损坏的记录的记录恢复单元的步骤。 根据本发明的SQLite数据库文件中恢复损坏记录的方法,通过使用作为SQLite数据库的文件结构的B树移动获得的模式信息来恢复损坏的记录。 因此,在所有情况下,该方法可以广泛用于SQLite数据库,而不考虑某个应用程序或文件系统的错误检测率较小。
-
公开(公告)号:KR101568680B1
公开(公告)日:2015-11-12
申请号:KR1020140089780
申请日:2014-07-16
Applicant: 고려대학교 산학협력단
IPC: G06F12/16
Abstract: 본발명은데이터파편분류를이용한데이터복원방법에관한것으로서, 보다바람직하게는입력부가손상되어복원하고자하는복원대상데이터를입력받는단계; 파편분류부가저장매체내 기저장된데이터파편중 상기복원대상데이터와관련된파편을분류하는단계; 파편재조립부가분류한파편중 불연속적으로조각난파편들을재조립하는단계; 및영상프레임추출부가상기파편들을재조립한결과에기초하여상기복원대상데이터에대한영상프레임을추출하는단계;를포함한다. 이러한구성에의해, 본발명의데이터파편분류를이용한데이터복원방법은복원하고자하는데이터파편과관련있는데이터파편을분류하고, 분류된데이터파편을재조립하여영상프레임을추출함으로써, 복원하고자하는데이터파편이불연속적으로단편화되더라도데이터를용이하게복원할수 있는효과가있다.
Abstract translation: 本发明涉及使用数据片段分类的数据恢复方法。 更优选地,数据恢复方法包括:输入单元,用于接收损坏并需要恢复的恢复目标数据的输入的步骤; 片段分类单元的步骤,用于在预先存储在记录介质中的数据片段中对与恢复目标数据相关的片段进行分类; 片段重新组装单元的步骤,用于重新组装分类片段中不规则分段的片段; 以及基于重新组合片段的结果,针对恢复目标数据提取图像帧的图像帧提取单元的步骤。 根据使用数据片段的数据恢复方法,即使当要恢复的数据片段被不规则地分段时,可以以简单的方式恢复数据,因为通过对与要恢复的数据片段相关的数据片段进行分类来提取图像帧,并且重新组装 分类数据片段。
-
公开(公告)号:KR101374239B1
公开(公告)日:2014-03-13
申请号:KR1020120067113
申请日:2012-06-22
Applicant: 고려대학교 산학협력단 , 대한민국(관리부서 대검찰청)
Abstract: 본 발명은 문서파일의 포렌식 분석 방법 및 시스템에 관한 것으로, 보다 구체적으로는 포렌식 분석을 수행하고자 하는 파일을 수신하는 파일수신단계; 수신한 상기 파일 내 정상영역 또는 비할당영역이 존재하는지 여부를 확인하는 파일영역판단단계; 상기 파일의 정상영역 또는 비할당영역 내 존재하는 복합문서파일을 검색하는 파일검색단계; 상기 복합문서파일에 대한 검증을 수행하는 검증단계; 및 상기 복합문서파일의 비할당영역 내 데이터에 대한 복구를 수행하는 데이터복구단계;를 포함한다.
본 발명의 문서파일의 포렌식 분석 방법 및 시스템은 손상된 복합문서파일 또는 복합문서파일 내 데이터가 할당되지 않은 비할당영역에 저장되었던 데이터를 용이하게 복구할 수 있는 효과가 있다.
-
-
-
-
-
Search Results
6
records
(took 0.024 seconds)
