Disk Forensic

BIOS: 시스템이 부팅이 될 때 해당 시스템의 기본 정보 제공

• 운영 체제와 하드웨어 사이의 입출력을 담당하는 저수준 소프트웨어와 드라이버로 구성된 펌웨어

BIOS의 중요성

• 시간 정보를 얻을 수 있음 (의도적으로 변경되었는 지를 확인 할 수 있는 기준)
• 하드디스크의 구성, 종류,용량 확인
• 시스템의 부팅 순서 설정 → 데이터 수집 시 유의 가능

RAM: 자유롭게 데이터를 읽고 쓸 수 있는 기억 장치 + 휘발성 메모리

• 수사 대상 컴퓨터에 전원이 공급되어 있다면 해당 컴퓨터의 상태를 가장 잘 알 수 있ㅇㅁ

ROM: 읽기만 가능한 기억장치로 전원이 공급되지 않아도 내용이 사라지지 않음

• 컴퓨터를 시작할 때 필요한 설정 및 프로그램을 저장하고 있는 ROM BIOS 형태로 많이 사용
• 초기 ROM은 제조 회사에서 미리 데이터를 기록하면 읽기만 가능했지만 현재는 사용자가 직접 데이터를 기록하는 ROM(PROM)이나 여러번 데이터를 재 기록할 수 있는 ROM(EPROM, EEPROM) 등이 사용되고 있음

Flash Memory- 전기적으로 데이터를 지우고 다시 기록할 수 있는 비휘발성 기억 장치

• EEPROM 보다 싸기 때문에 가장 많이 사용
• 충격에 강하고 저 전력으로 동작이 가능
• USB flash drive : 다양한 용량이 있으며 크기가 작고 휴대가 편리함

디지털 포렌식 관점의 USB 메모리: USB 메모리를 대상으로 데이터를 수집할 때 USB 메모리의 용량과 실제 디스크의 크기가 동일한지 확인하여 암호화 영역, 숨겨진 영역을 점검해야함

 

하드디스크 드라이브

• 현재 컴퓨터에서 가장 널리 쓰이며 중요한 역할을 하는 비휘발성 저장장치
• 하드디스크는 자기장을 이용해 플래터라는 금속판 위에 데이터 기록
• 플래터가 회전하면 헤드에 의해 데이터가 기록됨
• 플래터는 양면에 데이터를 모두 기록할 수 있으며 하드디스크의 용량에 따라 양면을 모두 사용하거나 여러장의 플래터 사용
• 하드디스크 인터페이스 - ATA/SATA/SCSI와 같이 다양항 인터페이스 사용 → 디스크 이미징 도구는 다양한 인터페이스를 지원해야함

SSD는 보관 및 관리 이슈가 있어 아직 HDD만큼 보증하기 힘듬

SSD=고용량 고속의 USB 드라이브

 

기존의 CHS → LBA 방식으로 전환

Sector = 하드디스크에서 데이터를 저장하는 최소단위 일반적으로 2^9(512)bytes

CHS에서는 0x000000를 안씀(physical한 access여서) LBA는 사용

 

CHS(21,3,20)=3번째 헤드를 21번째 실린더의 20번째 섹터로 이동한 후 정해진 섹터만큼 읽기 (용량문제 발생)

→ LBA로 바뀜 (CHS도 써야하니까 변환 가능)

 

Partition vs Volume

partition: 디스크의 공간을 논리적으로 별도의 데이터 영역으로 분할한 공간을 의미

volume: 파일 시스템으로 포맷된 디스크 상의 저장 영역을 의미

 

Slack 영역: 저장 매체의 물리적인 구조와 논리적인 구조의 차이로 발생하는 낭비 공간 (Ram,Drive,File System,Volume으로 구분)

Ram Slack

Drive Slack - 클러스터 사용으로 낭비되는 공간

File System Slack - 파일 시스템의 할당 크기와 파티션 크기의 차이로 낭비되는 공간

Volumn slack - 전체 볼륨 크기와 할당된 파티션 크기 차이로 발생하는 낭비 공간

 

Master Boot Record - 저장 매체 첫번째 섹터에 위치하는 512byte 영역

signature=0x55AA

MBR 실행과정

1. Power on

2. 마더보드 동작, BIOS실행

3. 하드웨어 리소스 체크 (power on self test 과정)

4. MBR 읽기

5. 부팅 가능한 파티션 검색 (MBR에서)

6. 부팅 가능할경우 해당 파티션의 BR(boot record)의 부트섹터 호출

7. 부팅 가능한 파티션이 없으면 오류 메시지 출력

 

Master Boot Record Partition Table

 

Boot Flag- 부팅 가능 불가능

parttype:NTFS 사용이런거

STarting LBA addr: 파티션의 시작 섹터 위치 모두 첫 파티션 시작 위치는 63 섹터

MBR DOS 파티션은 최대 2TB밖에 인식을 못함

 

GUID Partition Table (Globally Unique IDentifier)

BIOS를 통한 DOS/MBR 파티션 테이블의 한계 =2TB

→ 인털에서 이를 대체할 수단으로 Extensible Firmware Interface 표준 제안

→ 단순한 파티션 테이블 외에 다양한 디스크 정보 저장

128개의 주 파티션 생성 가능

대용량 볼륨 지원 (GPT는 64비트 파티션 크기 지원, MBR은 32bit 파티션 크기 지원)

 

File System이란? 컴퓨터에서 파일 또는 자료를 쉽게 접근하기 위한 보관 체계

meta 영역와 Data 영역으로 나뉨

메타: 파일 및 디렉토리 관리

데이터: 파일의 실제 데이터 저장

 

파일 시스템 포렌식이란?

파일 시스템의 구조 파악, 의미있는 데이터 추출

• 파일의 시간 정보르르 이용한 타임라인 분석
• 파일의 특성(암호화, 숨긴 파일 등) 분석
• 삭제된 데이터
• 슬랙 영역의 데이터

데이터 복구 방법:

메타 데이터로 삭제된 파일을 찾고 해당 데이터 영역으로 가서 파일을 찾음

안될경우 File Carving 사용 - 파일이 가지고 있는 시그니처 정보로 복구 시도