최근 플래시 메모리가 디지털기기의 저장장치로 많이 사용되면서 범죄 관련 중요 증거나 단서가 플래시 메모리에 저장되는 경우가 많아지고 있다. 이러한 현상은 플래시 메모리에 저장된 데이터가 범죄 수사에 도움이 될 가능성이 높아지기 때문에 저장된 데이터를 완전 삭제하기 위해 안티 포렌식 기술인 파일 와이핑 기법을 사용한다. 따라서 안티 포렌식 기술에 대용하기 위해서 는 플래시 메모리에 와이핑 작업이 수행된 디지털 증거를 분석하기 위한 디지털 포렌식 기술이 필요하다. 최근 플래시 메모리에 저장되어 있는 데이터를 복구하는 기법이 연구된 바 있지만 메타정보에 의존도가 높은 문제가 있다. 향상된 디지털 포렌식 수사를 위해서는 메타정보를 이용하지 않는 다른 방식의 연구가 필요하다. 본 논문은 플래시 메모리에서 안티 포렌식 기술인 파일 와이핑으로 삭제된 파일에 대한 복구 기법을 제안한다. 이 기법은 원본파일과 와이핑파일로 추정되는 블록들을 검색하고, 서로 비교하는 검증을 통해 파일을 복구한다. 다양한 실험을 통해 본 논문에서 제안하는 기법이 기존 복구 기법과 다른 환경에서 향상된 복구 성능을 보인다.
Recently, flash memory is used as storage system of digital devices. Anti-forensic techniques like file wiping is being tried to completely delete the stored files on flash memory, since they are clues in a criminal investigation. Therefore, it is necessary to develop digital forensic techniques for the analysis of digital evidence on flash memory to win anti-forensic techniques. Recently, data recovery approaches on flash memory have been proposed, which are heavily dependent of metadata stored on flash memory. This paper suggests a new technique to be able to recover data on flash memory deleted by file wiping. Differently from the previous techniques, our scheme can recovery deleted files without metadata on flash memory. Through diverse experiments, we show that our approach is a higher level of the data recovery technique compared with the existing techniques.
