Journal of Korea Society of Industrial Information Systems (한국산업정보학회논문지)

Korea Society of Industrial Information Systems (한국산업정보학회)
권호 표지
DOI QR코드

DOI QR Code

Forensic Investigation of External USB Drive

외장형 USB 저장장치의 포렌식 조사방법

  • 송유진 (한서대학교 전자.컴퓨터 통신학부) ;
  • 이재용 (한서대학교 전자.컴퓨터 통신학부)
  • Received : 2010.11.01
  • Accepted : 2010.11.29
  • Published : 2010.12.30
Download PDF
⟨ Previous Next ⟩

Abstract

Because of portable storage device's technical improvement, it's speeding up the conversion of mass storage. It means it's easier to move and save data. Generally, USB is using for portable storage device and forensic perspective, it's possible us to study data drain through portable storage device under securement of using vestige of USB. If we can secure using vestige of USB from boot domain it's possible to investigate data drain & prove criminal act. This thesis is suggesting Key/Thumb drive & USB Drive Enclosure's confirmation of using or not and division way though Disk Signature analysis.

휴대용 저장장치의 기술 발달로 저장장치의 대용량화가 가속화 되고 많은 데이터들의 이동 및 보관이 편리해 졌다. 휴대용 저장장치로는 USB 저장장치가 보편화 되어 사용되고 있으며, 포렌식 측면에서 이러한 USB 저장장치의 사용흔적 확보는 휴대용 저장장치를 통한 중요데이터 유출에 관한 조사를 가능하게 한다. 부트영역에 남아있는 USB 저장장치의 사용흔적을 확보하게 된다면 데이터 유출 및 범죄 행위 입증에 관한 조사가 가능하게 된다. 본 논문에서는 Disk Signature의 분석을 통한 USB Key/Thumb drive, USB Drive Enclosure 사용여부의 확인과 구분방법을 제시한다.

Keywords

References

  1. Harlan Carvey, "Windows Forensic Analysis, 2nd Edition," June, 2009.
  2. Rob Lee, "Profile Windows XP USB Drive Enclosures," SANS, Sep, 2009.
  3. Rob Lee, "Profile Windows XP USB Keys/Thumb drives," SANS, Sept, 2009.
  4. J. Axelson, USB Mass Storage: Designing and Programming Devices and Embedded Hosts, Lakeview Research, 2006.
  5. Microsoft, FAT32 File System Specification, http://www.microsoft.com/whdc/system/platform/firmware/fatgen.mspx