1 |
1
분석하고자 하는 메모리장치를 포함하고, 상기 메모리장치에 저장된 메모리를 이미지화하여 이미지메모리파일을 생성한 후 송신하는 클라이언트와;
상기 클라이언트로부터 이미지메모리파일을 수신하고, 상기 이미지메모리파일의 프레임크기를 파악하여 프레임크기에 따라 상기 이미지메모리파일을 분리하고, 분리된 이미지메모리파일에 대한 파일 시그니처 분석과정을 수행하고, 그 분석결과에 기초하여 상기 클라이언트의 디지털증거용 데이터를 생성하는 서버를 포함하되,
이러한 파일 시그니처 분석과정은 미리 정의한 특정파일 시그니처에 따른 파일값이 이미지메모리파일에 존재여부를 검색하는 것을 특징으로 하는 디지털증거 획득 시스템
|
2 |
2
제1항에 있어서,
상기 클라이언트는 분석하고자 하는 메모리장치 내 메모리의 동일한 형태를 갖는 이미지메모리파일을 생성하는 메모리이미지화부와;
상기 메모리이미지화부로부터 생성된 이미지메모리파일을 상기 서버로 송신하는 이미지메모리파일송신부를 포함함을 특징으로 하는 디지털증거 획득 시스템
|
3 |
3
제2항에 있어서,
상기 메모리이미지화부는 분석하고자 하는 메모리장치의 메모리에 저장된 프로그램 코드와 데이터 및 사용하지 않는 메모리 영역 중 적어도 하나가 동일하도록 상기 이미지메모리파일을 생성함을 특징으로 하는 디지털증거 획득 시스템
|
4 |
4
제3항에 있어서,
상기 메모리이미지화부는 상기 이미지메모리파일의 형성 시, 무결성 확인용 해쉬(Hash)함수를 연산하고, 함수값을 저장함을 특징으로 하는 디지털증거 획득 시스템
|
5 |
5
제4항에 있어서,
상기 해쉬함수는 MD5(Message Digest 5) 및 SHA(Secure Hash Algorithm) 중 적어도 하나를 사용함을 특징으로 하는 디지털증거 획득 시스템
|
6 |
6
제1항에 있어서,
상기 서버는 상기 클라이언트로부터 이미지메모리파일을 수신하는 이미지메모리파일수신부와;
상기 이미지메모리파일수신부로부터 수신한 이미지메모리파일에 대해 메모리구조추적과 파일시그니처 (File Signature)분석 및 텍스트검색 중 적어도 하나를 수행하는 이미지메모리파일분석부와;
상기 이미지메모리파일분석부로부터 분석된 분석결과에 기초하여 상기 클라이언트의 디지털증거용 데이터를 생성하는 데이터생성부를 포함함을 특징으로 하는 디지털증거 획득 시스템
|
7 |
7
제6항에 있어서,
상기 이미지메모리파일분석부는 상기 이미지메모리파일 내 메모리구조에 따라 프레임크기별로 상기 이미지메모리파일 내 메모리영역을 분리하는 메모리구조추적모듈과;
상기 이미지메모리파일에 포함된 파일시그니처 중 특수시그니처의 존재여부를 검색하고, 상기 특수시그니처에 해당하는 이미지메모리파일 내 메모리 공간을 파일로 복구하는 시그니처분석모듈 및
상기 이미지메모리파일에서 텍스트로 이루어진 문자열을 구분하는 텍스트검색모듈 중 적어도 하나를 포함함을 특징으로 하는 디지털증거 획득 시스템
|
8 |
8
제7항에 있어서,
상기 메모리구조추적모듈은 실행파일 디버거를 이용하여 상기 이미지메모리파일을 분석함을 특징으로 하는 디지털증거 획득 시스템
|
9 |
9
제8항에 있어서,
상기 텍스트검색모듈은 구분된 문자열에 기초하여 인터넷 주소 및 이메일 주소를 확보함을 특징으로 하는 디지털증거 획득 시스템
|
10 |
10
분석하고자 하는 메모리장치로부터 저장된 데이터를 이미지화하여 이미지메모리파일을 생성하는 메모리파일이미지화단계와;
상기 생성된 이미지메모리파일의 구조 및 내용을 분석하는 이미지메모리파일분석단계 및
상기 이미지메모리파일분석단계에서 분석된 분석결과에 기초하여 디지털증거용 데이터를 생성하는 데이터생성단계를 포함하되,
상기 이미지메모리파일분석단계는
상기 이미지메모리파일의 프레임크기를 파악하여 프레임크기에 따라 상기 이미지메모리파일을 분리하고, 분리된 이미지메모리파일에 대한 파일 시그니처 분석과정을 수행하되, 이러한 파일 시그니처 분석과정은 미리 정의한 특정파일 시그니처에 따른 파일값이 이미지메모리파일에 존재여부를 검색하는 것을 특징으로 하는 디지털증거 획득 방법
|
11 |
11
제10항에 있어서,
상기 메모리파일이미지화단계는 분석하고자 하는 메모리장치 내 메모리에 대하여 동일한 형태의 이미지메모리파일을 생성함을 특징으로 하는 디지털증거 획득 방법
|
12 |
12
제11항에 있어서,
상기 메모리파일이미지화단계는 분석하고자 하는 메모리장치 내 메모리에 저장된 프로그램 코드와 데이터 및 사용하지 않는 메모리 영역 중 적어도 하나가 동일한 이미지메모리파일을 생성함을 더 포함함을 특징으로 하는 디지털증거 획득 방법
|
13 |
13
제12항에 있어서,
상기 메모리파일이미지화단계는 상기 이미지메모리파일의 생성 시, 무결성 확인용 해쉬(Hash)함수를 연산하고, 함수값을 저장함을 특징으로 하는 디지털증거 획득 방법
|
14 |
14
제13항에 있어서,
상기 해쉬함수는 MD5(Message Digest 5) 및 SHA(Secure Hash Algorithm) 중 적어도 하나를 사용함을 특징으로 하는 디지털증거 획득 방법
|
15 |
15
제10항에 있어서,
상기 이미지메모리파일분석단계는 상기 이미지메모리파일의 메모리구조에 따라 프레임크기별로 메모리영역을 분리하는 메모리구조추적과정과;
상기 이미지메모리파일에 포함된 파일시그니처(Signature) 중 특수시그니처의 존재여부를 검색하고, 상기 특수시그니처에 해당하는 이미지메모리파일 내 메모리 공간을 파일로 복구하는 시그니처분석과정 및
상기 이미지메모리파일에서 텍스트로 이루어진 문자열을 구분하는 텍스트검색과정 중 적어도 하나를 포함함을 특징으로 하는 디지털증거 획득 방법
|
16 |
16
제15항에 있어서,
상기 텍스트검색과정은 구분된 문자열에 기초하여 인터넷 주소 및 이메일 주소를 확보함을 특징으로 하는 디지털증거 획득 방법
|