公开(公告)号：KR101688629B1

公开(公告)日：2016-12-21

申请号：KR1020150160868

申请日：2015-11-17

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용 ,  지성택

IPC: G06F11/14 ,  G06F3/06

CPC classification number: G06F11/1469 ,  G06F11/1435 ,  G06F17/30138 ,  G06F2201/80

Abstract: 메타데이터및 데이터클러스터를이용하는파일시스템복구방법및 장치가제공된다. 파일시스템복구장치는, 디스크또는증거이미지에서 MFT 엔트리리스트를생성하고, 적어도하나의데이터클러스터후보를수집하고, MFT 엔트리리스트내의적어도하나의 MFT 엔트리및 상기적어도하나의데이터클러스터후보를사용하여적어도하나의 MFT 엔트리-데이터클러스터쌍 후보를생성한다. 파일시스템복구장치는적어도하나의 MFT 엔트리-데이터클러스터쌍 후보에대한분석을수행함으로써가상파티션의속성값을결정하고, 속성값에기반하여가상파티션을생성한다.

公开(公告)号：KR1020140026821A

公开(公告)日：2014-03-06

申请号：KR1020120092498

申请日：2012-08-23

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용 ,  신영찬 ,  장태주

IPC: G06F12/16 ,  G06F11/00

CPC classification number: G06F11/1435 ,  G06F11/1417 ,  G06F17/30117

Abstract: Disclosed is a partition recovering method using backup boot record information comprising the steps of: classifying an unallocated area on a disk or a proof image; searching the position of a backup boot record in the unallocated area; analyzing whether a backup boot record of a file system to be searched exists among searched sectors; in case the backup boot record is the backup boot record of the file system to be searched, determining whether the backup boot record is a boot record of an effective partition; and, in case the backup boot record is the boot record of an effective partition, parsing a file system of a deleted partition using the backup boot record, and recovering deleted directories and files. [Reference numerals] (10) Disk; (20) Proof image; (30) Access part; (40) File system construction part; (50) Sector map construction part; (60) Backup boot record search part; (70) Partition certification part; (80) File system generation part; (90) User interface part

Abstract translation: 公开了一种使用备份引导记录信息的分区恢复方法，包括以下步骤：对盘上的未分配区域或证明图像进行分类; 在未分配区域中搜索备份启动记录的位置; 分析搜索到的扇区之间是否存在要搜索的文件系统的备份启动记录; 如果备份引导记录是要搜索的文件系统的备份引导记录，则确定备份引导记录是否是有效分区的引导记录; 并且，如果备份引导记录是有效分区的引导记录，则使用备份引导记录解析已删除分区的文件系统，并恢复已删除的目录和文件。 （附图标记）（10）盘; （20）证明图像; （30）访问部分; （40）文件系统构建部分; （50）部门图施工部分; （60）备份启动记录搜索部分; （70）分区认证部分; （80）文件系统生成部分; （90）用户界面部分

公开(公告)号：KR101135629B1

公开(公告)日：2012-04-17

申请号：KR1020090101790

申请日：2009-10-26

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  김기한 ,  이성일 ,  장태주 ,  이철원

IPC: G06F9/00 ,  G06F9/44 ,  G06F21/78

CPC classification number: G06F21/50 ,  G06F21/56 ,  G06F21/78

Abstract: 본 발명은 USB 방식의 이동형 저장장치의 자동실행을 방지하기 위해 자동 실행시에 사용되는 자동실행 파일을 생성하여 임의의 사용자나 웜바이러스가 자동실행 파일을 조작할 수 없도록 만드는 기술에 관한 것으로서, 실시예에 따른 자동실행방지 방법은, 루트 디렉토리의 마스터 파일 테이블 엔트리(Master File Table Entry) 및 자동실행파일의 마스터 파일 테이블 엔트리 중 적어도 하나에 엑세스하는 단계 및 엑세스한 적어도 하나의 마스터 파일 테이블 엔트리에 자동실행방지를 설정하는 단계를 포함한다.
자동실행방지, Autorun, USB, NTFS

Abstract translation: 提供了一种创建在自动运行中使用的自动运行文件以防止基于USB的便携式存储器的自动运行的技术，从而允许任意用户或蠕虫病毒不操纵自动运行文件。 一种用于防止便携式存储器的自动运行的方法，用于访问根目录的主文件表条目和自动运行文件的主文件表条目中的至少一个，并且在至少一个所访问的主文件表条目中设置非自动运行。

公开(公告)号：KR1020210041482A

公开(公告)日：2021-04-15

申请号：KR1020200104145

申请日：2020-08-19

Applicant: 한국전자통신연구원

Inventor： 신영찬 ,  황현욱 ,  김기범 ,  손기욱

IPC: G06F21/60 ,  G06F21/50 ,  G06F21/71

Abstract: USB 포렌식데이터획득장치및 방법이개시된다. 본발명의일실시예에따른 USB 포렌식데이터획득방법은 USB 포렌식데이터획득장치의 USB 포렌식데이터획득방법에있어서, USB 메모리로부터 USB 컨트롤러정보를추출하는단계; 상기 USB 컨트롤러정보를이용하여상기 USB 메모리의숨겨진영역을확인하는단계; 상기 USB 컨트롤러정보에상응하는고유커맨드를이용하여상기숨겨진영역에접근하기위한접근제어정보를수집하고, 상기접근제어정보를식별하는단계; 상기접근제어정보로부터식별된정보를이용하여상기숨겨진영역을개방하는단계및 상기숨겨진영역에저장된데이터를획득하는단계및 상기획득한데이터를이미징하는단계를포함한다.

公开(公告)号：KR1020110045289A

公开(公告)日：2011-05-04

申请号：KR1020090101790

申请日：2009-10-26

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  김기한 ,  이성일 ,  장태주 ,  이철원

IPC: G06F9/00 ,  G06F9/44 ,  G06F21/78

CPC classification number: G06F21/50 ,  G06F21/56 ,  G06F21/78 ,  G06F9/448 ,  G06F9/4488 ,  G06F9/4494

Abstract: PURPOSE: A method and device for automatic execution of a movable USB storing device is provided to prevent spreading and infection of a worm virus to the mobile USB storing device from a PC by directly setting an automatic execution prevention to the mobile USB storing device. CONSTITUTION: An access module(100) accesses a movable storage device(600). An auto-run preventing module inspects automatic execution prevention set to a volume of the mobile storing device. The auto-run preventing module set the auto-run prevention according to a inspection result. The auto-run preventing module includes an automatic execution prevention inspection unit(300) an automatic execution preventing setting unit(400).

Abstract translation: 目的：提供一种用于自动执行可移动USB存储设备的方法和装置，用于通过将自动执行预防直接设置到移动USB存储设备来防止蠕虫病毒从PC传播到移动USB存储设备。 构成：访问模块（100）访问可移动存储设备（600）。 自动运行防止模块检查针对移动存储设备的卷的自动执行防护设置。 自动防护模块根据检查结果设置自动运行防护。 自动运行防止模块包括自动执行防止检查单元（300），自动执行防止设置单元（400）。

公开(公告)号：KR1020110020051A

公开(公告)日：2011-03-02

申请号：KR1020090077732

申请日：2009-08-21

Applicant: 한국전자통신연구원

Inventor： 김기범 ,  황현욱 ,  신영찬 ,  장태주 ,  이철원 ,  백승재

IPC: G06F15/00 ,  G06F11/00 ,  G06F17/30

CPC classification number: G06Q10/10

Abstract: PURPOSE: A collection evidence method and an apparatus thereof, capable of collecting a used file and an access file are provided to maximize the validity of the evidence collection by collecting the used file through the analysis of a link file. CONSTITUTION: An access module(200) accesses a storage medium of a target computer. A file system analysis module(300) analyzes a file system of the storage medium. A link analysis module(500) analyzes a link file through the file system analysis module. A raw file extracting module(600) extracts the original file by using path of the original file. A UI(User Interface) module(800) displays the content of the original file and link information.

Abstract translation: 目的：提供能够收集使用的文件和访问文件的收集证据方法及其装置，以通过分析链接文件收集使用的文件来最大化证据收集的有效性。 构成：访问模块（200）访问目标计算机的存储介质。 文件系统分析模块（300）分析存储介质的文件系统。 链接分析模块（500）通过文件系统分析模块分析链接文件。 原始文件提取模块（600）通过使用原始文件的路径提取原始文件。 UI（用户界面）模块（800）显示原始文件和链接信息的内容。

公开(公告)号：KR102242952B1

公开(公告)日：2021-04-15

申请号：KR1020200104145

申请日：2020-08-19

Applicant: 한국전자통신연구원

Inventor： 신영찬 ,  황현욱 ,  김기범 ,  손기욱

IPC: G06F21/60 ,  G06F21/50 ,  G06F21/71

公开(公告)号：KR101403305B1

公开(公告)日：2014-06-05

申请号：KR1020120092498

申请日：2012-08-23

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용 ,  신영찬 ,  장태주

IPC: G06F12/16 ,  G06F11/00

CPC classification number: G06F11/1435 ,  G06F11/1417 ,  G06F17/30117

Abstract: 백업부트레코드 정보를 이용한 파티션 복구 방법이 개시된다. 본 발명에 따른 백업부트레코드 정보를 이용한 파티션 복구 방법은, 디스크 또는 증거 이미지에서 미할당 영역을 분류하는 단계, 상기 미할당 영역에서 백업부트레코드의 위치를 검색하는 단계, 검색된 섹터들 중에서 검출하고자 하는 파일시스템의 백업부트레코드인지 분석하는 단계, 상기 분석결과 상기 백업부트레코드가 검출하고자 하는 파일시스템의 백업부트레코드인 경우, 상기 백업부트레코드가 유효한 파티션의 부트레코드인지를 판단하는 단계 및 상기 백업부트레코드가 유효한 파티션의 부트레코드인 경우, 상기 백업부트레코드를 이용하여 삭제된 파티션의 파일시스템을 파싱하고 삭제된 디렉토리 또는 파일을 복구하는 단계를 포함한다.

公开(公告)号：KR101078289B1

公开(公告)日：2011-10-31

申请号：KR1020090078742

申请日：2009-08-25

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  장태주 ,  이철원

IPC: G06F15/00 ,  G06F12/00 ,  G06F9/00

CPC classification number: G06F11/1435

Abstract: 본발명은디지털포렌식에서디스크및 증거이미지에대하여조사할때 미할당영역을검색하여삭제된파티션에대한정보를빠르게추출하고, 복구된파티션을포렌식도구에새로운파티션으로추가하는기술에관한것이다. 이를위해획득된증거디스크나이미지의섹터로직접접근하고, 미할당영역에대한정보조사를파티션이생성될수 있는최소한의크기를만족하는영역에대해서만조사하도록제한하고, LBA 기반섹터접근방식을 CHS 기반섹터접근방식으로변환하여, 부트레코드가존재할가능성을가진위치의섹터만을읽어삭제된파티션정보를검색함으로써고속의파티션복구가가능하다.

公开(公告)号：KR101593184B1

公开(公告)日：2016-02-15

申请号：KR1020140122563

申请日：2014-09-16

Applicant: 한국전자통신연구원

Inventor： 황현욱 ,  김기범 ,  이승용

IPC: G06F17/30

CPC classification number: G06F11/1435 ,  G06F11/1417 ,  G06F11/1451 ,  G06F11/1469 ,  G06F11/2058 ,  G06F11/2069 ,  G06F2201/84

Abstract: 디스크의파티션구성정보인마스터부트레코드및 GPT, 볼륨의구성정보를저장하는부트레코드및 백업부트레코드가삭제되거나또는파괴되었을때 $MFT의 MFT 엔트리정보만을이용하여파티션복구시필요한핵심정보를계산하여삭제된파티션을복구하도록하는파일시스템메타데이터기반파티션복구방법및 장치를제시한다. 제시된방법은디스크또는증거이미지에서미할당영역을판별하는단계, 미할당영역을대상으로 MFT 엔트리를수집하는단계, MFT 엔트리를분석하여 MFT 파티션후보정보를생성하는단계, 및 MFT 파티션후보정보를기반으로파티션의레이아웃을재구성할수 있는정보를생성하고, 생성된정보및 MFT 엔트리를이용하여트리구조를생성하는단계를포함한다.

Abstract translation: 建议的是一种基于文件系统元数据恢复分区的方法和装置，该文件系统元数据通过使用$ MFT的MFT条目信息来计算分区恢复所需的核心信息，并且当主引导记录和GPT是分区时恢复已删除的分区 删除或损坏磁盘的组件信息，存储卷的组件信息的引导记录和备份引导记录。 该方法包括：确定盘或证据图像中的未分配区域的步骤; 从非分配区域收集MFT条目的步骤; 通过分析MFT条目来生成MFT分割候选信息的步骤; 以及基于所述MFT分割候补信息生成用于重新配置所述分区的布局的信息的步骤，以及通过使用所生成的信息和所述MFT条目来生成树结构。