[go: up one dir, main page]

KR20120010441A - Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method - Google Patents

Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method Download PDF

Info

Publication number
KR20120010441A
KR20120010441A KR1020100071982A KR20100071982A KR20120010441A KR 20120010441 A KR20120010441 A KR 20120010441A KR 1020100071982 A KR1020100071982 A KR 1020100071982A KR 20100071982 A KR20100071982 A KR 20100071982A KR 20120010441 A KR20120010441 A KR 20120010441A
Authority
KR
South Korea
Prior art keywords
mobile communication
communication terminal
data
data acquisition
raw data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020100071982A
Other languages
Korean (ko)
Inventor
김규철
Original Assignee
주식회사 모바일트랙
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 모바일트랙 filed Critical 주식회사 모바일트랙
Priority to KR1020100071982A priority Critical patent/KR20120010441A/en
Publication of KR20120010441A publication Critical patent/KR20120010441A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/382Information transfer, e.g. on bus using universal interface adapter
    • G06F13/385Information transfer, e.g. on bus using universal interface adapter for adaptation of a particular data processing system to different peripheral devices
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/02Input arrangements using manually operated switches, e.g. using keyboards or dials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Human Computer Interaction (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 디지털 포렌식 데이터 획득에 관한 것으로, 이동통신 단말기와 연결하기 위한 이동통신 단말기 표준 커넥터; 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터와 연결하기 위한 USB 커넥터; 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 내부 메모리에 남아있는 로 데이터(raw data)를 수신하여 저장하기 위한 저장부; 및 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기로부터 로 데이터를 획득하여 저장부에 저장하도록 제어하고, 및 컴퓨터로부터 수신되는 데이터 전송 명령에 대한 응답으로 저장부로부터 로 데이터를 판독하여 컴퓨터에 전송하도록 제어하는 제어부를 포함함으로써, 수사기관에서 용의자로 의심되는 사람들을 대상으로 하여 압수 수색의 과정이 없이 현장에서 간편한 방법으로 이동통신 단말기에 저장되어 있는 데이터를 획득할 수 있도록 하는 효과가 있다.The present invention relates to digital forensic data acquisition, comprising: a mobile communication terminal standard connector for connecting with a mobile communication terminal; A USB connector for connecting with a computer running digital forensic analysis software; A storage unit for receiving and storing raw data stored in the internal memory of the mobile communication terminal or deleted but remaining in the internal memory; And obtaining and storing the raw data from the mobile communication terminal in response to the data acquisition command received from the user and storing the raw data from the mobile communication terminal, and reading the raw data from the storage in response to the data transfer command received from the computer. By including a control unit for controlling the transmission to the, it is effective to obtain data stored in the mobile communication terminal in a convenient way in the field without the process of seizure search for those suspected suspects in the investigation agency .

Description

휴대용 디지털 포렌식 데이터 획득 장치, 데이터 획득 방법, 및 그 방법을 실행하기 위한 프로그램 기록매체{Portable digital forensics data acquisition apparatus, data acquisition method, and computer readable medium thereof}Portable digital forensic data acquisition apparatus, a data acquisition method, and a program recording medium for executing the method [Portable digital forensics data acquisition apparatus, data acquisition method, and computer readable medium]

본 발명은 디지털 포렌식 데이터 획득에 관한 것으로, 더욱 상세하게는, 이동통신 단말기에 저장되어 있거나, 또는 삭제되었지만 메모리에 남아있는 로 데이터(raw data)(예를 들어, 전화번호, 통화목록, 문자메시지, 사진 등의 데이터)를 디지털 포렌식 소프트웨어에서 사용될 수 있는 이진 데이터의 형태로 획득하기 위한 휴대용 포렌식 데이터 획득 장치, 데이터 획득 방법 및 그 방법을 실행하기 위한 프로그램 기록매체에 관한 것이다.TECHNICAL FIELD The present invention relates to digital forensic data acquisition, and more particularly, to raw data (eg, phone numbers, call lists, text messages stored in a mobile communication terminal or deleted but remaining in memory). The present invention relates to a portable forensic data acquisition device for acquiring data in the form of binary data that can be used in digital forensic software, a data acquisition method, and a program recording medium for executing the method.

디지털 포렌식(digital forensics)은 전자 증거물 등을 수사기관에 제출하기 위해 데이터를 수집, 분석, 보고서를 작성하는 일련의 작업을 말한다.Digital forensics is a series of tasks that collect, analyze, and report on data to submit electronic evidence to investigative agencies.

종래의 포렌식 장치들은 수사기관의 사무실 내에서 사용되도록 설계되어 있기 때문에, 수사기관이 이동통신 단말기에서 증거를 획득 및 분석하기 위해서는 용의자로부터 이동통신 단말기를 압수하고, 이를 수사기관 사무실로 가지고 와서 증거를 확보해야만 한다. 따라서, 용의자 가능성이 있는 사람들의 이동통신 단말기에 저장된 데이터를 간편한 방법으로 현장에서 즉시 확보할 수 없다는 문제점이 있다.Since the conventional forensic devices are designed to be used in the office of the investigating agency, the investigating agency seizes the mobile terminal from the suspect in order to acquire and analyze the evidence in the mobile terminal, and bring it to the investigating agency's office to collect the evidence. It must be secured. Therefore, there is a problem in that data stored in a mobile communication terminal of a suspected person cannot be immediately secured in the field by a simple method.

본 발명이 해결하고자 하는 기술적 과제는, 수사기관에서 용의자로 의심되는 사람들을 대상으로 하여 압수 수색의 과정이 없이 현장에서 간편한 방법으로 이동통신 단말기에 저장되어 있는 데이터를 획득할 수 있도록 하는 휴대용 디지털 포렌식 데이터 획득 장치, 데이터 획득 방법 및 그 방법을 실행하기 위한 프로그램 기록매체를 제공하는 것이다.The technical problem to be solved by the present invention is a portable digital forensic system for obtaining data stored in a mobile communication terminal in a convenient way in the field without a seizure search process for those suspected suspects in the investigation agency A data acquisition apparatus, a data acquisition method, and a program recording medium for executing the method are provided.

또한, 본 발명이 해결하고자 하는 기술적 과제는, 현장에 있는 이동통신 단말기로부터 획득된 데이터가 수사기관이나 사법기관의 증거자료로 사용될 수 있도록 데이터의 무결성을 보장하고, 또한 디지털 포렌식 분석 소프트웨어에서 분석이 가능한 형태로 데이터를 획득할 수 있도록 하는 휴대용 디지털 포렌식 데이터 획득 장치, 데이터 획득 방법 및 그 방법을 실행하기 위한 프로그램 기록매체를 제공하는 것이다.In addition, the technical problem to be solved by the present invention is to ensure the integrity of the data so that the data obtained from the mobile communication terminal in the field can be used as evidence of the investigative agency or law enforcement agency, and the analysis in the digital forensic analysis software The present invention provides a portable digital forensic data acquisition device, a data acquisition method, and a program recording medium for executing the method that can acquire data in a possible form.

상술한 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치는, 이동통신 단말기와 연결하기 위한 이동통신 단말기 표준 커넥터; 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터와 연결하기 위한 USB 커넥터; 상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 수신하여 저장하기 위한 저장부; 및 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 상기 이동통신 단말기로부터 상기 로 데이터를 획득하여 상기 저장부에 저장하도록 제어하고, 및 상기 컴퓨터로부터 수신되는 데이터 전송 명령에 대한 응답으로 상기 저장부로부터 상기 로 데이터를 판독하여 상기 컴퓨터에 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 한다.In order to solve the above technical problem, a portable digital forensic data acquisition device according to an embodiment of the present invention, a mobile communication terminal standard connector for connecting with the mobile communication terminal; A USB connector for connecting with a computer running digital forensic analysis software; A storage unit for receiving and storing raw data stored in the internal memory of the mobile communication terminal or deleted but remaining in the internal memory; And obtaining the raw data from the mobile communication terminal in response to a data acquisition command received from a user and storing the raw data in the storage unit, and from the storage unit in response to a data transmission command received from the computer. And a control unit for controlling the data to be read and transmitted to the computer.

상기 제어부는, 상기 이동통신 단말기 표준 커넥터를 통해서 연결되어 있는 디바이스가 상기 이동통신 단말기인지 여부를 확인하고, 상기 이동통신 단말기의 디바이스 유형에 따라서 상기 이동통신 단말기의 인터페이스와 통신 프로토콜을 맞추어 주는 USB 통합 드라이버부; 및 상기 컴퓨터로의 데이터 전송을 제어하기 위한 USB 대용량 저장 드라이버부를 포함할 수 있다.The control unit may determine whether the device connected through the mobile communication terminal standard connector is the mobile communication terminal, and integrate the USB with the communication protocol to match the interface of the mobile communication terminal according to the device type of the mobile communication terminal. A driver unit; And a USB mass storage driver for controlling data transmission to the computer.

상기 제어부는, 상기 이동통신 단말기로부터 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되도록 상기 저장부에 미리 저장되어 있던 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 패킷 분석부; 및 상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 로 데이터를 파일의 형태로 획득하는 데이터 획득부를 포함할 수 있다.The controller detects a model name and version information of the mobile communication terminal by analyzing a packet received from the mobile communication terminal, and stores the model name and version information of the mobile communication terminal previously stored in the storage unit so as to correspond to the model name and the version information. A packet analyzer searching for information about an operating system and a file system; And a data acquisition unit accessing an entry of the file system using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and obtaining the raw data in the form of a file from the entry. can do.

상기 제어부는, 상기 데이터 획득부에 획득된 상기 로 데이터를 파일 종류별로 분류하여 상기 저장부에 저장하는 데이터 분류부를 더 포함할 수 있다.The controller may further include a data classifying unit classifying the raw data acquired by the data obtaining unit by file types and storing the raw data in the storage unit.

상기 제어부는, 상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 MD5, SHA1, 또는 SHA256을 포함하는 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 상기 저장부에 저장하는 무결성 검증부를 더 포함할 수 있다.The controller may further include an integrity verifier configured to store a hash value by applying a hash value including a hash algorithm including MD5, SHA1, or SHA256 to the raw data to secure the integrity of the raw data.

상기 장치는, 상기 USB 커넥터를 통해서 충전되어 상기 휴대용 디지털 포렌식 데이터 획득 장치에서 사용되는 전원을 공급하는 배터리부를 더 포함할 수 있다.The device may further include a battery unit charged through the USB connector to supply power used in the portable digital forensic data acquisition device.

상기 장치는, 상기 사용자로부터 상기 데이터 획득 명령을 수신하기 위한 원 터치 버튼을 포함하는 사용자 인터페이스부를 더 포함할 수 있다.The apparatus may further include a user interface including a one touch button for receiving the data acquisition command from the user.

상기 사용자 인터페이스부는, 상기 사용자로부터 상기 데이터 획득 명령의 범위에 관한 정보를 수신하여 상기 사용자가 원하는 데이터만을 획득하도록 하는 기능선택 스위치를 더 포함할 수 있다.The user interface unit may further include a function selection switch for receiving information regarding a range of the data acquisition command from the user to acquire only data desired by the user.

상기 사용자 인터페이스부는, 상기 배터리부의 전원공급 상태, 상기 휴대용 디지털 포렌식 데이터 획득 장치의 정상동작 여부, 또는 상기 이동통신 단말기와의 통신 상태를 외부로 표시하기 위한 하나 이상의 LED 표시자를 더 포함할 수 있다.The user interface unit may further include one or more LED indicators for externally indicating a power supply state of the battery unit, whether the portable digital forensic data acquisition device is in normal operation, or a communication state with the mobile communication terminal.

또한, 상술한 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법은, 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기 표준 커넥터를 통해서 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되는 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 단계; 상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 파일의 형태로 획득하는 단계; 상기 로 데이터를 파일 종류별로 분류하여 저장하는 단계; 상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 소정의 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장하는 단계; 및 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터로부터 USB 커넥터를 통해서 수신되는 데이터 전송 명령에 대한 응답으로 파일 종류별로 분류된 상기 로 데이터 및 상기 해쉬 값을 상기 컴퓨터로 전송하는 단계를 포함하는 것을 특징으로 한다.In addition, in order to solve the above technical problem, in the portable digital forensic data acquisition apparatus according to an embodiment of the present invention, the data acquisition method is received through a mobile communication terminal standard connector in response to a data acquisition command received from a user. Analyzing the packet to detect model name and version information of the mobile communication terminal, and searching for information on an operating system and a file system of the mobile communication terminal corresponding to the model name and the version information; An entry of the file system is accessed using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and is stored or deleted from the entry in the internal memory of the mobile communication terminal. Obtaining raw data remaining in the internal memory in the form of a file; Classifying and storing the raw data by file type; Assigning and storing a hash value applying a predetermined hash algorithm to the raw data to secure the integrity of the raw data; And transmitting the raw data and the hash value classified by file type to the computer in response to a data transfer command received through a USB connector from a computer running digital forensic analysis software.

또한, 상술한 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체는, 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기 표준 커넥터를 통해서 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되는 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 단계; 상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 파일의 형태로 획득하는 단계; 상기 로 데이터를 파일 종류별로 분류하여 저장하는 단계; 상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 소정의 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장하는 단계; 및 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터로부터 USB 커넥터를 통해서 수신되는 데이터 전송 명령에 대한 응답으로 파일 종류별로 분류된 상기 로 데이터 및 상기 해쉬 값을 상기 컴퓨터로 전송하는 단계를 포함하는 것을 특징으로 한다.In addition, in order to solve the above technical problem, in the portable digital forensic data acquisition apparatus according to an embodiment of the present invention, a computer-readable recording medium on which a program for executing a data acquisition method is recorded is received from a user. Analyzing the packet received through the mobile communication terminal standard connector in response to the data acquisition command to detect the model name and version information of the mobile communication terminal, the operating system and file of the mobile communication terminal corresponding to the model name and the version information Searching for information about the system; An entry of the file system is accessed using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and is stored or deleted from the entry in the internal memory of the mobile communication terminal. Obtaining raw data remaining in the internal memory in the form of a file; Classifying and storing the raw data by file type; Assigning and storing a hash value applying a predetermined hash algorithm to the raw data to secure the integrity of the raw data; And transmitting the raw data and the hash value classified by file type to the computer in response to a data transfer command received through a USB connector from a computer running digital forensic analysis software.

본 발명의 일 실시예에 따르면, 이동통신 단말기 표준 커넥터를 통해서 이동통신 단말기의 로 데이터를 수신하도록 하고 USB 커넥터를 통해서 컴퓨터로 전송하도록 함으로써, 수사기관에서 용의자로 의심되는 사람들을 대상으로 하여 압수 수색의 과정이 없이 현장에서 간편한 방법으로 이동통신 단말기에 저장되어 있는 데이터를 획득할 수 있도록 하는 효과가 있다.According to an embodiment of the present invention, by receiving the raw data of the mobile communication terminal through the mobile terminal standard connector and transmitting to the computer through the USB connector, the seizure search for those suspected suspects in the investigation agency There is an effect of acquiring the data stored in the mobile communication terminal in a convenient way in the field without the process of.

또한, 본 발명의 일 실시예에 따르면, 모델명 및 버전정보를 이용하여 이동통신 단말기의 운영체제 및 파일 시스템을 탐색하고 탐색 결과에 따라 이동통신 단말기로부터 로 데이터를 파일 형태로 획득함으로써, 디지털 포렌식 분석 소프트웨어에서 분석이 가능한 형태로 데이터를 획득할 수 있는 효과가 있다.In addition, according to an embodiment of the present invention, the digital forensic analysis software by searching the operating system and file system of the mobile communication terminal using the model name and version information, and obtaining raw data in a file form from the mobile communication terminal according to the search result. It is effective to obtain data in a form that can be analyzed in.

또한, 본 발명의 일 실시예에 따르면, 획득된 파일과 함께 그 해쉬 값도 컴퓨터로 함께 전송함으로써, 현장에 있는 이동통신 단말기로부터 획득된 데이터가 수사기관이나 사법기관의 증거자료로 사용될 수 있도록 데이터의 무결성을 보장하는 효과가 있다.In addition, according to an embodiment of the present invention, by transmitting the hash value to the computer together with the obtained file, the data obtained from the mobile communication terminal in the field can be used as evidence of the investigative agency or law enforcement agency It is effective to ensure the integrity of the.

도 1은 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치와 다른 디바이스와의 연결 구조를 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치의 사용자 인터페이스를 예시적으로 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치의 하드웨어 구성을 개략적으로 도시한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치 내 제어부의 구성을 도시한 블록도이다.
도 5는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법을 설명하기 위한 흐름도이다.1 is a view for explaining a connection structure between a portable digital forensic data acquisition device and another device according to an embodiment of the present invention.
2 is a diagram illustrating a user interface of a portable digital forensic data acquisition device according to an embodiment of the present invention by way of example.
3 is a block diagram schematically illustrating a hardware configuration of a portable digital forensic data acquisition device according to an embodiment of the present invention.
4 is a block diagram illustrating a configuration of a controller in a portable digital forensic data acquisition device according to an embodiment of the present invention.
5 is a flowchart illustrating a data acquisition method in a portable digital forensic data acquisition device according to an embodiment of the present invention.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상세하게 설명한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치와 다른 디바이스와의 연결 구조를 설명하기 위한 도면이다.1 is a view for explaining a connection structure between a portable digital forensic data acquisition device and another device according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치(100)는 휴대폰, PDA, 또는 스마트폰 등과 같은 이동통신 단말기(130)로부터 데이터를 획득하기 위한 휴대용 장치로서 보관, 운반, 및 사용 편리성을 극대화 한 장치이다.Referring to FIG. 1, a portable digital forensic data acquisition device 100 according to an embodiment of the present invention is stored as a portable device for acquiring data from a mobile communication terminal 130 such as a mobile phone, a PDA, or a smartphone. It is a device that maximizes the convenience of transportation and use.

이동통신 단말기(130)로부터 획득되는 데이터는 전화번호부, 문자메시지, 최근통화목록, 사진, MP3 파일, 스케줄, 오피스 문서 또는 동영상 등과 같은 사용자 데이터 뿐만 아니라 이동통신 단말기(130)의 동작을 제어하는 시스템 데이터도 포함될 수 있다. The data obtained from the mobile communication terminal 130 is a system for controlling the operation of the mobile communication terminal 130 as well as user data such as a phone book, a text message, a recent call list, a picture, an MP3 file, a schedule, an office document or a video. Data may also be included.

또한, 이동통신 단말기(130)로부터 획득되는 데이터는 이동통신 단말기(130)의 내부 메모리(도시되지 않음)에 저장되어 있는 데이터 뿐만 아니라 삭제되었지만 내부 메모리(도시되지 않음) 상에 남아있는 데이터도 포함한다. 예를 들어, DOS나 MS WINDOWS 운영체제의 FAT 파일 시스템에서 파일이 삭제된 경우에는 파일 이름의 첫 번째 문자를 OxE5로 변경해서 삭제된 파일임을 표시하고, FAT에서 삭제된 파일이 저장되어 있던 클러스터들의 할당 값들을 0으로 변경하여 다른 파일이 저장될 수 있다. 그러나 파일이 삭제된 이후에도 삭제된 파일의 정보 즉, 파일 이름, 날짜, 파일 크기, 파일의 시작 클러스터 등은 변경되지 않고 그대로 남아있기 때문에, 이 정보를 이용하여 삭제된 데이터를 획득하는 것이 가능하다.In addition, the data obtained from the mobile communication terminal 130 includes not only data stored in the internal memory (not shown) of the mobile communication terminal 130 but also data deleted but remaining in the internal memory (not shown). do. For example, if a file is deleted from the FAT file system of a DOS or MS WINDOWS operating system, the file is deleted by changing the first character of the file name to OxE5, indicating that the file was deleted, and allocating the clusters that stored the deleted file from the FAT. By changing the values to 0, another file can be saved. However, even after the file is deleted, the information of the deleted file, that is, the file name, date, file size, start cluster of the file, and the like remains unchanged, so that it is possible to obtain deleted data using this information.

휴대용 디지털 포렌식 데이터 획득 장치(100)는 이동통신 단말기(130)으로부터 빠르고 간편하게 데이터 획득을 하기 위해 별도의 변환 케이블이 없이 바로 연결 할 수 있는 이동통신 단말기 표준 커넥터(110), 및 획득한 데이터를 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터(140)로 쉽게 전송하기 위한 USB 커넥터(120)를 포함한다.Portable digital forensic data acquisition device 100 is a mobile communication terminal standard connector 110 that can be directly connected without a separate conversion cable for fast and simple data acquisition from the mobile communication terminal 130, and digitally obtained data And a USB connector 120 for easy transfer to a computer 140 running forensic analysis software.

휴대용 디지털 포렌식 데이터 획득 장치(100)는 이동통신 단말기 표준 커넥터(110)에 의해서 이동통신 단말기(130)와 연결되고, 또한 USB 커넥터(120)에 의해서 컴퓨터(140)와 연결된다. 이동통신 단말기 표준 커넥터(110)는 별도의 케이블 없이 이동통신 단말기(130)와 직접 연결될 수 있지만, 이동통신 단말기 표준 케이블을 사용하여 이동통신 단말기(130)와 연결될 수도 있다. USB 커넥터(120)도 별도의 케이블 없이 컴퓨터(140)와 직접 연결될 수 있지만, USB 케이블을 사용하여 컴퓨터(140)와 연결될 수도 있다.The portable digital forensic data acquisition device 100 is connected to the mobile communication terminal 130 by the mobile communication terminal standard connector 110, and is also connected to the computer 140 by the USB connector 120. The mobile communication terminal standard connector 110 may be directly connected to the mobile communication terminal 130 without a separate cable, but may also be connected to the mobile communication terminal 130 using a mobile communication terminal standard cable. The USB connector 120 may also be directly connected to the computer 140 without a separate cable, but may also be connected to the computer 140 using a USB cable.

도 2는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치의 사용자 인터페이스를 예시적으로 도시한 도면이다.2 is a diagram illustrating a user interface of a portable digital forensic data acquisition device according to an embodiment of the present invention by way of example.

도 2를 참조하면, 휴대용 디지털 포렌식 데이터 획득 장치(200)는 복잡한 설정 없이 사용자로부터 전원 켜짐 및 데이터 획득 명령을 수신하기 위한 원 터치 버튼(230), 사용자로부터 데이터 획득 명령의 범위에 관한 정보를 수신하여 이동통신 단말기(130)에 저장된 여러가지 데이터 중에서 사용자가 원하는 특정 데이터만을 획득할 수 있도록 하는 기능선택 스위치(240), 배터리의 전원공급 상태, 휴대용 디지털 포렌식 데이터 획득 장치(200)의 정상동작 여부, 또는 이동통신 단말기(130)와의 통신 상태를 외부로 표시하기 위한 LED 표시자(250) 등의 사용자 인터페이스를 포함할 수 있다. 사용자 인터페이스는 후술할 제어부(도 3의 330)에 의해서 제어된다.Referring to FIG. 2, the portable digital forensic data acquisition apparatus 200 receives one-touch button 230 for receiving a power-on and data acquisition command from a user without complicated setting, and information about a range of the data acquisition command from the user. Function selection switch 240 to enable the user to obtain only specific data desired among various data stored in the mobile communication terminal 130, the battery power supply state, whether the portable digital forensic data acquisition device 200 operates normally, Or it may include a user interface, such as an LED indicator 250 for displaying the communication state with the mobile communication terminal 130 to the outside. The user interface is controlled by the controller 330 of FIG. 3 to be described later.

도 3은 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치의 하드웨어 구성을 개략적으로 도시한 블록도이다.3 is a block diagram schematically illustrating a hardware configuration of a portable digital forensic data acquisition device according to an embodiment of the present invention.

도 3을 참조하면, 휴대용 디지털 포렌식 데이터 획득 장치(300)는 이동통신 단말기 표준 커넥터(310), USB 커넥터(320), 제어부(330), 저장부(340) 및 배터리부(350)를 포함한다. 또한, 제어부(330)는 중앙연산장치(332), USB 호스트 컨트롤러(334) 및 USB 디바이스 컨트롤러(336)를 포함한다. 또한, 배터리부(350)는 리튬-이온 배터리(352) 및 전원공급장치(354)를 포함한다.Referring to FIG. 3, the portable digital forensic data acquisition device 300 includes a mobile communication terminal standard connector 310, a USB connector 320, a control unit 330, a storage unit 340, and a battery unit 350. . In addition, the controller 330 includes a central processing unit 332, a USB host controller 334, and a USB device controller 336. In addition, the battery unit 350 includes a lithium-ion battery 352 and a power supply 354.

이동통신 단말기 표준 커넥터(310)는 휴대용 디지털 포렌식 데이터 획득 장치(300) 및 이동통신 단말기(130)를 연결하고, USB 커넥터(320)는 휴대용 디지털 포렌식 데이터 획득 장치(300) 및 컴퓨터(140)를 연결한다.The mobile terminal standard connector 310 connects the portable digital forensic data acquisition apparatus 300 and the mobile communication terminal 130, and the USB connector 320 connects the portable digital forensic data acquisition apparatus 300 and the computer 140. Connect.

중앙연산장치(332)는 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기(130)로부터 이동통신 단말기 표준 커넥터(310) 및 USB 호스트 컨트롤러(334)를 통해서 로 데이터를 획득하여 저장부(340)에 저장하도록 제어한다. 또한, 제어부(330)는 디지털 포렌식 분석 소프트웨어를 구동하는 컴퓨터(140)로부터 수신되는 데이터 전송 명령에 대한 응답으로 저장부(340)로부터 로 데이터를 판독하여 컴퓨터(140)에 전송하도록 제어한다. 여기서, 이동통신 단말기(130)로부터 획득되어 컴퓨터(140)로 전송하는 로 데이터는 이동통신 단말기(130)의 내부 메모리(도시되지 않음)에 저장되어 있거나 또는 삭제되었지만 내부 메모리(도시되지 않음)에 남아있어 복구가 가능한 데이터이다. 중앙연산장치(332)는 데이터 획득 시간을 단축하기 위해 고속으로 동작하면서도 휴대용 장치의 특성을 고려한 저전력 설계에 충실하도록 설계되는 것이 바람직하다.The central computing unit 332 acquires raw data from the mobile communication terminal 130 through the mobile terminal standard connector 310 and the USB host controller 334 in response to a data acquisition command received from the user. 340 to control. In addition, the controller 330 controls to read the raw data from the storage unit 340 and transmit the read data to the computer 140 in response to a data transmission command received from the computer 140 running digital forensic analysis software. Here, raw data obtained from the mobile communication terminal 130 and transmitted to the computer 140 is stored in the internal memory (not shown) of the mobile communication terminal 130 or deleted but is stored in the internal memory (not shown). It remains and is recoverable data. The central operation unit 332 is preferably designed to be faithful to the low power design considering the characteristics of the portable device while operating at high speed to shorten the data acquisition time.

USB 호스트 컨트롤러(334)는 이동통신 단말기 표준 커넥터(310)를 통한 이동 통신 단말기(130)와의 통신을 제어하고, USB 디바이스 컨트롤러(336)는 USB 커넥터(320)를 통한 컴퓨터(140)와의 통신을 제어한다.The USB host controller 334 controls communication with the mobile communication terminal 130 through the mobile terminal standard connector 310, and the USB device controller 336 communicates with the computer 140 through the USB connector 320. To control.

저장부(340)는 제어부(330)로부터 이동통신 단말기(130)의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 내부 메모리에 남아있는 로 데이터를 수신하여 저장한다. 저장부(340)는, 예를 들어, 착탈이 가능하여 쉽게 교체할 수 있는 SD 카드 메모리를 사용하여 장치(300)의 확장성을 극대화 할 수 있다.The storage unit 340 receives and stores raw data stored in the internal memory of the mobile communication terminal 130 or deleted from the controller 330 but remaining in the internal memory. The storage unit 340 may maximize the expandability of the device 300 using, for example, an SD card memory that can be easily removed and replaced.

배터리부(350)는 USB 커넥터(320)를 통해서 전원을 자동 충전하거나 또는 건전지 등을 이용하여 전원공급장치(354)에서 휴대용 디지털 포렌식 데이터 획득 장치(300)에 필요한 전원을 공급한다. 배터리부(350)는 예를 들어 리튬-이온 배터리를 포함할 수 있으나 반드시 이에 한정되는 것은 아니며 다양한 종류의 배터리가 사용 가능하다.The battery unit 350 automatically charges power through the USB connector 320 or supplies power required for the portable digital forensic data acquisition device 300 from the power supply device 354 using a battery or the like. The battery unit 350 may include, for example, a lithium-ion battery, but is not limited thereto, and various types of batteries may be used.

도 4는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치 내 제어부의 구성을 도시한 블록도이다.4 is a block diagram illustrating a configuration of a controller in a portable digital forensic data acquisition device according to an embodiment of the present invention.

도 4를 참조하면, 휴대용 디지털 포렌식 데이터 획득 장치의 제어부(400)는 USB 통합 드라이버부(405) 및 USB 호스트 드라이버(410)를 포함하는 디바이스 드라이버부와, 패킷 분석부(430), 데이터 획득부(435), 데이터 분류부(440), 무결성 검증부(445) 및 사용자 인터페이스부(450)를 포함하는 애플리케이션부를 포함한다.Referring to FIG. 4, the control unit 400 of the portable digital forensic data acquisition device includes a device driver unit including a USB integrated driver unit 405 and a USB host driver 410, a packet analyzer 430, and a data acquisition unit. 435, an application unit including a data classifier 440, an integrity verifier 445, and a user interface 450.

또한, 휴대용 디지털 포렌식 데이터 획득 장치의 제어부(400)에서 구현 가능한 소프트웨어 구성은 다양한 하드웨어 플랫폼에서 융통성 있게 이식 가능한 리눅스 OS를 탑재할 수 있고, 다양한 종류의 이동통신 단말기(130)으로부터 제약 없이 필요한 데이터를 획득하기 위하여 USB 호스트 드라이버(410) 및 ACM 드라이버(425)를 사용할 수 있으며, 컴퓨터(140)로의 데이터 전송을 용이하게 하기 위하여 USB 대용량 저장 드라이버(415)를 탑재할 수 있다. 또한, 장치의 확장성을 극대화하기 위해 쉽게 교체가 가능한 SD 카드 메모리를 내장할 수 있고, 이 경우에 SD 카드 메모리를 구동하기 위한 SD 카드 메모리 드라이버(420)가 사용될 수 있다.In addition, the software configuration that can be implemented in the control unit 400 of the portable digital forensic data acquisition device can be equipped with a Linux OS that can be flexibly ported on various hardware platforms, and can obtain necessary data from various kinds of mobile communication terminals 130 without restriction. The USB host driver 410 and the ACM driver 425 may be used to acquire, and the USB mass storage driver 415 may be mounted to facilitate data transfer to the computer 140. In addition, in order to maximize the expandability of the device may be built-in easily replaceable SD card memory, in this case the SD card memory driver 420 for driving the SD card memory can be used.

이러한 제반 환경을 바탕으로, 이동통신 단말기(130)의 데이터 획득과 컴퓨터(140)로의 원활한 데이터 전송을 위한 애플리케이션은, 이동통신 단말기(130)로부터 데이터를 획득하는 부분(패킷 분석부(430) 및 데이터 획득부(435)), 획득한 정보를 분석하고 저장하는 부분(데이터 분류부(440) 및 무결성 검증부(445)), 및 획득된 데이터를 컴퓨터(140)로 전송하는 부분(USB 대용량 저장 드라이버(415)) 등으로 이루어져 있으며, 아울러 배터리 충방전 상태를 검사하여 전원을 관리하는 전원관리부(도시되지 않음)와 도 2에서 설명한 사용자 인터페이스를 제어하는 부분(사용자 인터페이스부(450)) 등을 포함할 수 있다.Based on such an environment, an application for data acquisition of the mobile communication terminal 130 and smooth data transmission to the computer 140 may include a portion (packet analyzer 430) and data acquisition from the mobile communication terminal 130. Data acquisition unit 435, a portion for analyzing and storing the acquired information (data classification unit 440 and integrity verification unit 445), and a portion for transmitting the acquired data to the computer 140 (USB mass storage Driver 415), and a power management unit (not shown) that manages power by inspecting a battery charge / discharge state and a portion (user interface unit 450) for controlling the user interface described with reference to FIG. It may include.

이하에서는, 상기 제어부(400)에 의한 데이터 획득 및 전송 과정을 설명한다.Hereinafter, a process of acquiring and transmitting data by the controller 400 will be described.

이동통신 단말기(130)가 휴대용 디지털 포렌식 데이터 획득 장치(300)에 연결되면, 휴대용 디지털 포렌식 데이터 획득 장치(300)는 USB 호스트 컨트롤러(334)를 통해서 새로운 장치의 연결을 인식하고, 제어부(300,400)의 USB 호스트 드라이버(410), ACM 드라이버(425), 및 패킷 분석부(430)는 인식된 새로운 장치의 종류와 형태를 알아낸다. 연결된 장치가 이동통신 단말기(130)로 판별되는 경우, 제어부(400)는 이동통신 단말기(130)의 종류마다 규정된 데이터 전송모드에 따라 이동통신 단말기(130)와 통신하고, 이동통신 단말기(130)의 내부 메모리에 접근하여 데이터를 획득한다.When the mobile communication terminal 130 is connected to the portable digital forensic data acquisition device 300, the portable digital forensic data acquisition device 300 recognizes the connection of a new device through the USB host controller 334, and controls the controllers 300 and 400. The USB host driver 410, the ACM driver 425, and the packet analyzer 430 determine the type and shape of the recognized new device. When the connected device is determined as the mobile communication terminal 130, the controller 400 communicates with the mobile communication terminal 130 according to the data transmission mode defined for each type of the mobile communication terminal 130, and the mobile communication terminal 130. Access the internal memory of) to acquire data.

이동통신 단말기(130)로부터의 데이터 획득은 단말기 제조사와 모델마다 요구하는 통신 방법이 모두 다르고, 표준 ACM 드라이버(425)나 USB 대용량 저장 드라이버(415) 만으로는 원하는 데이터를 충분히 획득할 수 없기 때문에, USB 통합 드라이버(405) 및 패킷 분석부(430)를 통해서 해당 이동통신 단말기(130)에 맞는 통신 방법을 찾아내고 데이터 획득을 위한 기본적인 환경을 마련할 수 있다.Since the data acquisition from the mobile communication terminal 130 requires a different communication method for each terminal manufacturer and model, and the standard ACM driver 425 or the USB mass storage driver 415 alone cannot sufficiently acquire desired data. Through the integrated driver 405 and the packet analyzer 430, a communication method suitable for the mobile communication terminal 130 may be found and a basic environment for data acquisition may be prepared.

USB 통합 드라이버부(405)는 이동통신 단말기 표준 커넥터(110)를 통해서 연결되어 있는 디바이스가 이동통신 단말기(130)인지 여부를 확인하고, 이동통신 단말기(130)의 디바이스 유형에 따라서 이동통신 단말기(130)의 인터페이스와 통신 프로토콜을 맞추어 준다. USB 통합 드라이버부(405)는 개별 이동통신 단말기 전용의 새로운 디바이스 드라이버의 형태이거나 표준 USB 드라이버를 그대로 쓰면서 일부의 요소만 수정해주는 필터 드라이버의 형태를 가질 수 있다. 리눅스 OS에서 제공되는 표준 USB 디바이스 드라이버로 이동통신 단말기 데이터 획득에 필요한 환경을 만들어낼 수 없는 경우, 개별 이동통신 단말기에 대해 디바이스 유형을 정의하고 제어하면서 이동통신 단말기의 인터페이스와 통신 프로토콜을 맞추어준다.The USB integrated driver unit 405 checks whether or not the device connected through the mobile communication terminal standard connector 110 is the mobile communication terminal 130 and according to the device type of the mobile communication terminal 130. 130) interface with the communication protocol. The USB integrated driver 405 may be in the form of a new device driver for an individual mobile communication terminal or in the form of a filter driver that modifies only a few elements while using a standard USB driver. If the standard USB device driver provided by the Linux OS cannot create the environment necessary for mobile terminal data acquisition, the interface and communication protocol of the mobile terminal are matched by defining and controlling the device type for each mobile terminal.

패킷 분석부(430)는 이동통신 단말기(130)로부터 수신되는 패킷을 분석하여 이동통신 단말기(130)의 모델명(제조사 정보도 포함) 및 버전정보를 검출하고, 검출된 모델명 및 버전정보에 대응되도록 저장부(340)에 미리 저장되어 있던 이동통신 단말기(130)의 운영체제 및 파일 시스템에 관한 정보를 탐색한다.The packet analyzer 430 analyzes a packet received from the mobile communication terminal 130 to detect model name (including manufacturer information) and version information of the mobile communication terminal 130 and to correspond to the detected model name and version information. Search for information regarding an operating system and a file system of the mobile communication terminal 130 previously stored in the storage unit 340.

또한, 패킷 분석부(430)는 이동통신 단말기(130)의 모델명과 버전정보를 확인 한 다음, 이동통신 단말기(130)와 통신할 때 한 번에 주고 받을 수 있는 데이터의 최대 크기(최대 패킷 전송량)를 읽어 제어부(400) 내 레지스터에 저장해둔다. 이렇게 하는 이유는 이동통신 단말기(130)로부터 받는 데이터의 크기가 항상 일정하지는 않기 때문에 한 번에 주고받을 수 있는 데이터의 최대 크기를 기준으로 전체 데이터 전송량을 판별하기 위함이다.In addition, the packet analyzer 430 checks the model name and version information of the mobile communication terminal 130, and then communicates with the mobile communication terminal 130 at the maximum size of data that can be transmitted and received at once (maximum packet transmission amount). ) Is stored in a register in the control unit 400. The reason for doing this is to determine the total amount of data transmission based on the maximum size of data that can be exchanged at one time because the size of data received from the mobile communication terminal 130 is not always constant.

데이터 획득부(435)는 패킷 분석부(430)에서 확인된 이동통신 단말기(130)의 운영체제 및 파일 시스템에 따라서 이동통신 단말기(130)의 파일 시스템에 대한 접근명령을 결정하고, 결정된 접근명령을 이용하여 해당 파일 시스템의 엔트리에 접근하여 사용자가 원하는 범위 만큼의 로 데이터를 파일의 형태로 획득한다.The data acquisition unit 435 determines an access command for the file system of the mobile communication terminal 130 according to the operating system and file system of the mobile communication terminal 130 identified by the packet analyzer 430, and determines the determined access command. By accessing the entry of the corresponding file system, the raw data as much as the user wants is obtained in the form of a file.

이동통신 단말기(130)로부터 데이터를 축출할 수 있는 인터페이스가 갖추어졌다고 하여, 모든 이동통신 단말기(130)로부터 자유롭게 데이터를 획득할 수 있는 것은 아니다. 이는, 이동통신 단말기(130) 내부의 운영체제(OS)나 파일 시스템 (Filesystem)이 단말기 제조사나 모델마다 다르고, 단말기 제조사는 이동통신 단말기(130)의 내부 메모리로부터 정형화되고 표준화된 방식이 아닌 (개발의 편의에 따라 내부적으로 약속된) 각기 다른 명령과 방법으로 필요한 정보를 얻기 때문에, 누구나 쉽게 데이터를 획득할 수 있는 표준화된 명령체계는 없다고 할 수 있다. 따라서, 데이터 획득부(435)는 각 이동통신 단말기(130)의 운영체제(OS)와 파일시스템(Filesystem)을 근거로 분석을 하고 데이터 획득의 목적에 한하여 이동통신 단말기(130) 내부의 명령체계를 사용하여 필요한 데이터를 획득할 수 있도록 한다.The fact that an interface for extracting data from the mobile communication terminal 130 is provided, does not mean that data can be freely obtained from all mobile communication terminals 130. This is because the operating system (OS) or file system (Filesystem) inside the mobile communication terminal 130 is different for each terminal manufacturer or model, and the terminal manufacturer is not a standardized and standardized method from the internal memory of the mobile communication terminal 130 (development). Since the necessary information is obtained by different commands and methods (internally promised according to the convenience), there is no standardized command system that anyone can easily obtain data from. Accordingly, the data acquiring unit 435 analyzes the operating system (OS) and the file system of the mobile communication terminal 130 based on the operating system (OS) and the file system (Filesystem) and the command system inside the mobile communication terminal 130 only for the purpose of data acquisition. To obtain the required data.

데이터 획득부(435)는 이동통신 단말기(130)의 파일 시스템에 접근하여 필요한 데이터를 읽어온다. 파일 시스템의 각 엔트리에 대한 접근 명령은 단말기 마다 다를 수 있는데, 그러한 접근 명령은 패킷 분석부(430)에서 획득된 이동통신 단말기(130)의 모델명과 이동통신 단말기(130)와 통신할 때 한 번에 주고 받을 수 있는 데이터의 최대 크기(최대 패킷 전송량) 등의 정보를 기초로 하여 결정되며, 이동통신 단말기(130)로부터 특정 데이터만 읽어오거나 순차적으로 전체 데이터를 읽어올 수 있도록 설게될 수 있다. 특정 데이터만 읽어오거나 순차적으로 전체 데이터를 읽어올지는 도 2에서 설명된 기능선택 스위치에 의해서 선택될 수 있다.The data acquisition unit 435 accesses the file system of the mobile communication terminal 130 and reads out necessary data. The access command for each entry of the file system may be different for each terminal. Such an access command is one time when communicating with the mobile communication terminal 130 and the model name of the mobile communication terminal 130 obtained by the packet analyzer 430. It is determined based on information such as the maximum size (maximum packet transmission amount) of data that can be transmitted and received, and may be configured to read only specific data or sequentially read the entire data from the mobile communication terminal 130. Reading only specific data or sequentially reading the entire data can be selected by the function selection switch described in FIG.

데이터 분류부(440)는 데이터 획득부(435)에서 획득된 로 데이터를 파일 종류별로 분류하여(예를 들어, 통화목록, 전화번호, 통화목록, 문자메시지, 사진 등으로 분류하거나, 파일 확장자별로 구분하여 분류할 수 있음) 필요한 데이터를 저장부(340)에 저장한다. 데이터 분류부(440)는 데이터 획득부(435)에서 획득된 로 데이터를 이동통신 단말기(130)를 구동하는데 필요한 운영체제 파일과 같은 시스템 파일, 전화번호, 통화목록, 문자메시지, 사진 등의 사용자 파일로 분류할 수도 있다. 또한, 데이터 획득 및 복구가 필요한 파일은 대부분 사용자 파일일 것이므로, 데이터 획득 및 복구가 필요한 사용자 파일과, 데이터 획득 및 복구가 필요없는 사용자 파일로 분류하여 사용자 파일만을 저장부(340)에 저장할 수도 있다. 데이터 분류부(440)는 데이터 획득부(435)에서 획득된 로 데이터로부터 사용자가 원하는 파일을 선별하여 사용자가 읽을 수 있는 포맷으로 변환한 후에 저장부(340)에 저장할 수 있다.The data classifying unit 440 classifies raw data acquired by the data obtaining unit 435 by file type (for example, call list, phone number, call list, text message, photo, etc., or file extension). Can be classified and classified) The necessary data is stored in the storage unit 340. The data classifying unit 440 may store the raw data acquired by the data obtaining unit 435 such as an operating system file required to drive the mobile communication terminal 130, a user file such as a phone number, a call list, a text message, a picture, and the like. It can also be classified as In addition, since most of the files that need data acquisition and recovery will be user files, the user files may be classified into user files that require data acquisition and recovery, and user files that do not require data acquisition and recovery. . The data classifier 440 may select a file desired by the user from the raw data acquired by the data acquirer 435, convert the file into a format readable by the user, and then store the file in the storage 340.

또한, 데이터 분류부(440)는 분류된 데이터를 이동통신 단말기(130)의 내부 메모리와 동일한 형태와 구조로 재구성하여 저장부(340)에 저장할 수도 있다. 저장부(340)에 저장할 때에는 데이터를 획득한 이동통신 단말기(130)의 모델명과 전화번호를 별도로 저장하여 다수의 이동통신 단말기로부터 받은 다수의 데이터를 하나의 휴대용 디지털 포렌식 데이터 획득 장치(300) 내에서 관리할 수 있도록 설계할 수 있다.In addition, the data classifier 440 may reconfigure the classified data into the same form and structure as the internal memory of the mobile communication terminal 130 and store the classified data in the storage unit 340. When storing the data in the storage unit 340, the model name and the phone number of the mobile communication terminal 130 obtained the data are stored separately to store a plurality of data received from the plurality of mobile communication terminals in one portable digital forensic data acquisition device 300. It can be designed to be managed by.

무결성 검증부(445)는 저장부(340)에 저장된 로 데이터의 무결성을 확보하기 위하여 로 데이터에 MD5, SHA1, 또는 SHA256 등을 포함하는 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장부(340)에 저장한다. 결국, 이동통신 단말기(130)로부터 획득된 데이터는 이동통신 단말기(130)의 파일 시스템에서 파일의 형태로 존재하는 그 형태 그대로 휴대용 디지털 포렌식 데이터 획득 장치(300)의 저장부(340)에 저장되며, 데이터의 변형이 없는 파일 원본 그대로임을 확인하는 무결성 검증을 통해서 해당 데이터는 수사기관 등에서의 증거자료로 사용될 수 있게 된다.Integrity verification unit 445 is given to the storage unit 340 by applying a hash value applying a hash algorithm including MD5, SHA1, or SHA256 to the raw data in order to secure the integrity of the raw data stored in the storage unit 340 Save it. As a result, the data obtained from the mobile communication terminal 130 is stored in the storage unit 340 of the portable digital forensic data acquisition device 300 as it exists in the form of a file in the file system of the mobile communication terminal 130. In addition, through the integrity verification to confirm that the file is intact, the data can be used as evidence in the investigative agency.

사용자 인터페이스부(450)는 원 터치 버튼을 통한 사용자로부터의 데이터 획득 명령의 수신을 제어하고, 기능선택 스위치를 통한 사용자로부터의 데이터 획득 명령의 범위에 관한 정보의 수신을 제어하며, LED 표시자를 통한 배터리부(350)의 전원공급 상태, 휴대용 디지털 포렌식 데이터 획득 장치(300)의 정상동작 여부, 또는 이동통신 단말기(130)와의 통신 상태의 표시를 제어한다.The user interface 450 controls the reception of the data acquisition command from the user through the one touch button, the reception of information regarding the range of the data acquisition command from the user through the function selection switch, and the LED indicator. Controls the display of the power supply state of the battery unit 350, whether the portable digital forensic data acquisition device 300 is in normal operation, or the communication state with the mobile communication terminal 130.

휴대용 디지털 포렌식 데이터 획득 장치(300)는 컴퓨터(140)와 연결될 때 대용량 저장 장치(Mass Storage Device)로 인식되도록 설계되어 있다. SD 카드 메모리(340)는 컴퓨터(140)에서 대용량 저장 장치로 쓰이기 위해 파일 시스템을 맵핑하여 논리드라이브로 탑재되며, 표준화된 규약에 따라 USB 디바이스 컨트롤러(336)를 통해서 획득된 데이터를 컴퓨터(140)로 출력한다.The portable digital forensic data acquisition device 300 is designed to be recognized as a mass storage device when connected to the computer 140. The SD card memory 340 is mounted as a logical drive by mapping a file system in order to be used as a mass storage device in the computer 140, and the computer 140 stores data acquired through the USB device controller 336 according to standardized protocols. Will output

도 5는 본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a data acquisition method in a portable digital forensic data acquisition device according to an embodiment of the present invention.

도 5를 참조하면, 단계 505에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기 표준 커넥터를 통해서 수신되는 패킷을 분석하여 이동통신 단말기의 모델명 및 버전정보를 검출한다.Referring to FIG. 5, in step 505, the portable digital forensic data acquisition apparatus analyzes a packet received through a standard connector of a mobile communication terminal in response to a data acquisition command received from a user, thereby model name and version information of the mobile communication terminal. Detect.

단계 510에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 단계 505에서 검출된 모델명 및 버전정보에 대응되는 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색한다.In operation 510, the apparatus for acquiring portable digital forensic data searches for information about an operating system and a file system of the mobile communication terminal corresponding to the model name and version information detected in operation 505.

단계 515에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 단계 510에서 탐색된 이동통신 단말기의 운영체제 및 파일 시스템에 따라서 결정되는 이동통신 단말기의 접근명령을 이용하여 파일 시스템의 엔트리에 접근한다.In operation 515, the portable digital forensic data acquisition device accesses an entry in the file system using an access command of the mobile communication terminal determined according to the operating system and file system of the mobile communication terminal found in step 510.

단계 520에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 파일 시스템의 엔트리로부터 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 내부 메모리에 남아있는 로 데이터를 파일의 형태로 획득한다.In operation 520, the portable digital forensic data acquisition device obtains raw data stored in the internal memory of the mobile communication terminal or deleted from the entry of the file system in the form of a file.

단계 525에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 단계 520에서 파일의 형태로 획득된 로 데이터를 파일 종류별로 분류하여 저장한다.In operation 525, the portable digital forensic data acquisition apparatus classifies and stores raw data acquired in the form of a file in operation 520 by file type.

단계 530에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 파일 종류별로 분류하여 저장된 로 데이터의 무결성을 확보하기 위하여 로 데이터에 소정의 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장한다.In operation 530, the portable digital forensic data acquisition apparatus stores and assigns a hash value applying a predetermined hash algorithm to the raw data in order to secure the integrity of the stored raw data classified by file type.

단계 535에서는, 휴대용 디지털 포렌식 데이터 획득 장치는, 디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터로부터 USB 커넥터를 통해서 수신되는 데이터 전송 명령에 대한 응답으로 단계 525에서 파일 종류별로 분류된 로 데이터 및 단계 530에서 부여된 해쉬 값을 컴퓨터로 전송한다.In step 535, the portable digital forensic data acquisition device receives the raw data classified by file type in step 525 and step 530 in response to a data transfer command received through a USB connector from a computer running digital forensic analysis software. Send the hash value to the computer.

본 발명의 일 실시예에 따른 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 저장 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로서 저장되고 실행될 수 있다.In the portable digital forensic data acquisition apparatus according to an embodiment of the present invention, the data acquisition method may be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of storage devices that store data that can be read by a computer system. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The computer readable recording medium may also be distributed over a networked computer system and stored and executed as computer readable code in a distributed manner.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

Claims (11)

이동통신 단말기와 연결하기 위한 이동통신 단말기 표준 커넥터;
디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터와 연결하기 위한 USB 커넥터;
상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 수신하여 저장하기 위한 저장부; 및
사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 상기 이동통신 단말기로부터 상기 로 데이터를 획득하여 상기 저장부에 저장하도록 제어하고, 및 상기 컴퓨터로부터 수신되는 데이터 전송 명령에 대한 응답으로 상기 저장부로부터 상기 로 데이터를 판독하여 상기 컴퓨터에 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.A mobile communication terminal standard connector for connecting with a mobile communication terminal;
A USB connector for connecting with a computer running digital forensic analysis software;
A storage unit for receiving and storing raw data stored in the internal memory of the mobile communication terminal or deleted but remaining in the internal memory; And
Control to acquire and store the raw data from the mobile communication terminal in response to a data acquisition command received from a user, and store the raw data from the mobile communication terminal; And a control unit for controlling data to be read and transmitted to the computer. 제1항에 있어서, 상기 제어부는,
상기 이동통신 단말기 표준 커넥터를 통해서 연결되어 있는 디바이스가 상기 이동통신 단말기인지 여부를 확인하고, 상기 이동통신 단말기의 디바이스 유형에 따라서 상기 이동통신 단말기의 인터페이스와 통신 프로토콜을 맞추어 주는 USB 통합 드라이버부; 및
상기 컴퓨터로의 데이터 전송을 제어하기 위한 USB 대용량 저장 드라이버부를 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 1, wherein the control unit,
A USB integrated driver unit checking whether a device connected through the standard terminal of the mobile communication terminal is the mobile communication terminal, and matching an interface and a communication protocol of the mobile communication terminal according to the device type of the mobile communication terminal; And
A portable digital forensic data acquisition device comprising a USB mass storage driver for controlling data transmission to the computer. 제2항에 있어서, 상기 제어부는,
상기 이동통신 단말기로부터 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되도록 상기 저장부에 미리 저장되어 있던 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 패킷 분석부; 및
상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 로 데이터를 파일의 형태로 획득하는 데이터 획득부를 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.3. The apparatus of claim 2,
Analyzing the packet received from the mobile communication terminal to detect the model name and version information of the mobile communication terminal, the operating system and file system of the mobile communication terminal previously stored in the storage unit to correspond to the model name and the version information A packet analyzer searching for information about the packet; And
And a data acquisition unit accessing an entry of the file system using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and obtaining the raw data from the entry in the form of a file. Portable digital forensic data acquisition device, characterized in that. 제3항에 있어서, 상기 제어부는,
상기 데이터 획득부에 획득된 상기 로 데이터를 파일 종류별로 분류하여 상기 저장부에 저장하는 데이터 분류부를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The apparatus of claim 3,
And a data classifying unit for classifying the raw data acquired by the data obtaining unit by file type and storing the raw data in the storage unit. 제3항 또는 제4항에 있어서, 상기 제어부는,
상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 MD5, SHA1, 또는 SHA256을 포함하는 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 상기 저장부에 저장하는 무결성 검증부를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 3 or 4, wherein the control unit,
In order to secure the integrity of the raw data, the digital digital forensics further comprises an integrity verification unit for assigning a hash value applying a hash algorithm including MD5, SHA1, or SHA256 to the raw data and storing it in the storage unit. Data Acquisition Device. 제1항에 있어서, 상기 장치는,
상기 USB 커넥터를 통해서 충전되어 상기 휴대용 디지털 포렌식 데이터 획득 장치에서 사용되는 전원을 공급하는 배터리부를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 1, wherein the device,
And a battery unit charged through the USB connector to supply power used in the portable digital forensic data acquisition device. 제1항에 있어서, 상기 장치는,
상기 사용자로부터 상기 데이터 획득 명령을 수신하기 위한 원 터치 버튼을 포함하는 사용자 인터페이스부를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 1, wherein the device,
And a user interface unit including a one-touch button for receiving the data acquisition command from the user. 제7항에 있어서, 상기 사용자 인터페이스부는,
상기 사용자로부터 상기 데이터 획득 명령의 범위에 관한 정보를 수신하여 상기 사용자가 원하는 데이터만을 획득하도록 하는 기능선택 스위치를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 7, wherein the user interface unit,
And a function selection switch for receiving information on the range of the data acquisition command from the user so as to acquire only the data desired by the user. 제7항 또는 제8항에 있어서, 상기 사용자 인터페이스부는,
상기 배터리부의 전원공급 상태, 상기 휴대용 디지털 포렌식 데이터 획득 장치의 정상동작 여부, 또는 상기 이동통신 단말기와의 통신 상태를 외부로 표시하기 위한 하나 이상의 LED 표시자를 더 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치.The method of claim 7 or 8, wherein the user interface unit,
Portable digital forensic data further comprising at least one LED indicator for displaying the power supply state of the battery unit, whether the portable digital forensic data acquisition device is operating normally, or the communication state with the mobile communication terminal to the outside. Acquisition device. 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기 표준 커넥터를 통해서 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되는 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 단계;
상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 파일의 형태로 획득하는 단계;
상기 로 데이터를 파일 종류별로 분류하여 저장하는 단계;
상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 소정의 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장하는 단계; 및
디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터로부터 USB 커넥터를 통해서 수신되는 데이터 전송 명령에 대한 응답으로 파일 종류별로 분류된 상기 로 데이터 및 상기 해쉬 값을 상기 컴퓨터로 전송하는 단계를 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법.Analyzing the packet received through the mobile communication terminal standard connector in response to the data acquisition command received from the user to detect the model name and version information of the mobile communication terminal, the mobile communication terminal corresponding to the model name and the version information Searching for information about the operating system and file system of the;
An entry of the file system is accessed using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and is stored or deleted from the entry in the internal memory of the mobile communication terminal. Obtaining raw data remaining in the internal memory in the form of a file;
Classifying and storing the raw data by file type;
Assigning and storing a hash value applying a predetermined hash algorithm to the raw data to secure the integrity of the raw data; And
And transmitting the raw data and the hash value classified by file type to the computer in response to a data transfer command received through a USB connector from a computer running digital forensic analysis software. Data acquisition method in forensic data acquisition device. 사용자로부터 수신되는 데이터 획득 명령에 대한 응답으로 이동통신 단말기 표준 커넥터를 통해서 수신되는 패킷을 분석하여 상기 이동통신 단말기의 모델명 및 버전정보를 검출하고, 상기 모델명 및 상기 버전정보에 대응되는 상기 이동통신 단말기의 운영체제 및 파일 시스템에 관한 정보를 탐색하는 단계;
상기 이동통신 단말기의 운영체제 및 파일 시스템에 따라 결정되는 상기 이동통신 단말기의 접근명령을 이용하여 상기 파일 시스템의 엔트리에 접근하고, 상기 엔트리로부터 상기 이동통신 단말기의 내부 메모리에 저장되어 있거나 또는 삭제되었지만 상기 내부 메모리에 남아있는 로 데이터(raw data)를 파일의 형태로 획득하는 단계;
상기 로 데이터를 파일 종류별로 분류하여 저장하는 단계;
상기 로 데이터의 무결성을 확보하기 위하여 상기 로 데이터에 소정의 해쉬 알고리즘을 적용한 해쉬 값을 부여하여 저장하는 단계; 및
디지털 포렌식 분석 소프트웨어를 실행하는 컴퓨터로부터 USB 커넥터를 통해서 수신되는 데이터 전송 명령에 대한 응답으로 파일 종류별로 분류된 상기 로 데이터 및 상기 해쉬 값을 상기 컴퓨터로 전송하는 단계를 포함하는 것을 특징으로 하는 휴대용 디지털 포렌식 데이터 획득 장치에서 데이터 획득 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.Analyzing the packet received through the mobile communication terminal standard connector in response to the data acquisition command received from the user to detect the model name and version information of the mobile communication terminal, the mobile communication terminal corresponding to the model name and the version information Searching for information about the operating system and file system of the;
An entry of the file system is accessed using an access command of the mobile communication terminal determined according to an operating system and a file system of the mobile communication terminal, and is stored or deleted from the entry in the internal memory of the mobile communication terminal. Obtaining raw data remaining in the internal memory in the form of a file;
Classifying and storing the raw data by file type;
Assigning and storing a hash value applying a predetermined hash algorithm to the raw data to secure the integrity of the raw data; And
And transmitting the raw data and the hash value classified by file type to the computer in response to a data transfer command received through a USB connector from a computer running digital forensic analysis software. A computer-readable recording medium having recorded thereon a program for executing a data acquisition method in a forensic data acquisition device.
KR1020100071982A 2010-07-26 2010-07-26 Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method Ceased KR20120010441A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100071982A KR20120010441A (en) 2010-07-26 2010-07-26 Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100071982A KR20120010441A (en) 2010-07-26 2010-07-26 Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method

Publications (1)

Publication Number Publication Date
KR20120010441A true KR20120010441A (en) 2012-02-03

Family

ID=45834928

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100071982A Ceased KR20120010441A (en) 2010-07-26 2010-07-26 Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method

Country Status (1)

Country Link
KR (1) KR20120010441A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101293730B1 (en) * 2012-12-07 2013-08-07 대한민국 A unit duplicating and verifying method of digital evidence data
WO2013122270A1 (en) * 2012-02-13 2013-08-22 주식회사 텍쎈 Usb charger with gender structure
KR101390704B1 (en) * 2012-11-22 2014-04-30 주식회사 머글 Usb memory safety management system using smartphones
KR102079119B1 (en) * 2018-08-29 2020-04-07 나성훈 Data recovery method for smart mobile device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013122270A1 (en) * 2012-02-13 2013-08-22 주식회사 텍쎈 Usb charger with gender structure
KR101390704B1 (en) * 2012-11-22 2014-04-30 주식회사 머글 Usb memory safety management system using smartphones
KR101293730B1 (en) * 2012-12-07 2013-08-07 대한민국 A unit duplicating and verifying method of digital evidence data
KR102079119B1 (en) * 2018-08-29 2020-04-07 나성훈 Data recovery method for smart mobile device

Similar Documents

Publication Publication Date Title
KR102255952B1 (en) Method And Apparatus For Updating Application
EA024302B1 (en) METHOD AND DEVICE FOR WIRELESS CONTROL OF DIGITAL CONTENT
US7987153B2 (en) Apparatus and method for automatically migrating user's working data
KR102536266B1 (en) Method for memory leak detection and electronic device thereof
CN101841559B (en) Network device and method of sharing external storage device
KR20120010441A (en) Portable digital forensic data acquisition device, data acquisition method, and program recording medium for executing the method
US8793795B1 (en) Computer forensic tool
US7949796B2 (en) Device and file transfer system
CN101655875A (en) Image indication method and digital photo frame
KR102316846B1 (en) Method for sorting a media content and electronic device implementing the same
EP1717700A2 (en) Multimedia devices with enhanced functionality
US9113135B2 (en) Image advocacy in portable computing devices
US11341095B2 (en) Electronic device for searching for file information stored in external device and operation method thereof
KR102839480B1 (en) An electronic device for performing media scan and media scan method thereof
EP3819763B1 (en) Electronic device and operating method thereof
CN116467110B (en) Method and system for detecting damage of tablet personal computer
CN113010482A (en) Log processing method and device
US9104671B2 (en) Automatic storage media content cataloging
KR102051613B1 (en) Analysis System and Method of iOS System Log
US8123564B2 (en) Apparatus and system for electronic device interrogation and data extraction
KR102137153B1 (en) Data management device
JP5146880B2 (en) Information management apparatus, information management system, information management program, and information management method
US20250165268A1 (en) Application Data Management Method, Device, Product, and Medium
CN113127680A (en) Cross-network alarm correlation method, storage medium and system
KR20120066231A (en) A connection system of smart phone and external memory devices, and method thereof

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20100726

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20110725

Patent event code: PE09021S01D

PG1501 Laying open of application
E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

Comment text: Final Notice of Reason for Refusal

Patent event date: 20120319

Patent event code: PE09021S02D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20120820

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20120319

Comment text: Final Notice of Reason for Refusal

Patent event code: PE06011S02I

Patent event date: 20110725

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I