라이브 포렌식을 위한 윈도우즈 물리 메모리 분석 도구The Windows Physical Memory Dump Explorer for Live Forensics
- Other Titles
- The Windows Physical Memory Dump Explorer for Live Forensics
- Authors
- 한지성; 이상진
- Issue Date
- 2011
- Publisher
- 한국정보보호학회
- Keywords
- digital forensics; live forensics; live data; physical memory; windows memory analysis; kernel objects; digital forensics; live forensics; live data; physical memory; windows memory analysis; kernel objects
- Citation
- 정보보호학회논문지, v.21, no.2, pp.71 - 82
- Indexed
- KCI
- Journal Title
- 정보보호학회논문지
- Volume
- 21
- Number
- 2
- Start Page
- 71
- End Page
- 82
- URI
- https://scholar.korea.ac.kr/handle/2021.sw.korea/114770
- ISSN
- 1598-3986
- Abstract
- 라이브 포렌식은 하드디스크 파일시스템 분석으로 획득할 수 없는 메모리 내의 활성 데이터를 얻을 수 있다는 장점으로 인해 최근의 포렌식 조사 시 활용되고 있다. 하지만 기존의 라이브 포렌식은 활성 시스템에서 시스템 정보를 획득하기 위한 명령어 기반의 도구를 사용함으로써, 악성코드에 의한 변조된 결과 획득 및 재분석이 용이하지 못한 단점을 가지고 있다. 따라서 본 논문은 시스템 조사 도구를 이용한 라이브 포렌식의 단점을 보완하기 위한 윈도우즈 커널 객체 구조 설명 및 분석 방법을 설명한다. 또한, 이를 활용하기 위한 도구를 설계 및 구현하였고, 실험 결과를 통해 그 효과를 입증한다.
- Files in This Item
- There are no files associated with this item.
- Appears in
Collections - School of Cyber Security > Department of Information Security > 1. Journal Articles
Items in ScholarWorks are protected by copyright, with all rights reserved, unless otherwise indicated.