디지털 저장 매체의 종류 및 특성
ROM
읽기만 가능한 기억장치.
전원이 공급되지 않아도 내용이 사라지지 않음 -> 비휘발성
BIOS 저장에 사용.
포렌식 관점에서 ROM BIOS
ROM BIOS에 저장된 시스템의 시간은 현장에서 확보한 시스템의 시간이 정확한지, 의도적으로 변경되었는지 확인할 수 있는 기준이 되므로 중요함.
BIOS 셋업 모드 진입 방법
BIOS 제조사 마다 다르지만 DEL, F1, F2를 사용.
일반적으로 부팅 첫 화면에서 바이오스 진입 키를 명시.
ROM의 종류
Mask Rom - 제조 회사에서 미리 데이터를 기록한 것으로 데이터 변경 불가
PROM - 제조된 후 사용자가 한번만 데이터를 기록할 수 있음.
EPROM - 자외선을 사용하여 기록된 내용을 지우고, 다시 기록할 수 있음.
EEPROM - 전기적인 방법을 사용하여 기록된 내용을 지우고 다시 기록할 수 있음. EX) 플래쉬 메모리
RAM
자유롭게 읽기, 쓰기가 가능한 기억장치.
전원 공급 되지 않으면 데이터가 사라짐 -> 휘발성
임의 접근 -> 순차 접근과 구분하기 위해 사용(자기 테이프)
디지털 포렌식 분야에서 RAM
수사 대상 컴퓨터에 전원이 공급되어 있다면 해당 컴퓨터의 상태를 가장 잘 알 수 있음.
플래시 메모리
읽기와 쓰기가 자유로움.
별도의 전원이 필요 없는 비휘발성 장치.
EEPROM의 한 종류.
외부의 충격과 열에 강함, 저전력 특성.
플래시 메모리의 종류
NAND 플래시, NOR 플래시
저장 방식
SLC(Single Level Cell), MLC (Multi Level Cell) , TLC (Triple Level Cell)
NAND 플래시
셀이 직렬 형태 - 각 셀에서 순차적으로 데이터를 읽어내는 방식, Random Access가 불가능.
대용량에 적합 - NOR 플래시에 비해 데이터 읽기 속도 느림, 메모리의 블록이 여러 페이지로 나눠짐 -> 쓰기/지우기 속도 더 빠름.
EX) SD 카드, SSD, MP3, 메모리 스틱, 디지털 카메라
NOR 플래시
셀이 병렬 형태 - 데이터 읽기 시 Random Access가 가능 -> 빠름, 데이터를 덮어 쓰는 것이나 지우는 것은 Random Access 불가능, 집적도가 낮아져서 대용량 메모리에 부적합.
EX) MMC 카드, Compact 플래시 메모리, 휴대폰, 셋톱박스
현재는 NAND 플래시 주로 사용.
SLC
하나의 셀에 1 bits (0, 1) 사용.
빠른 속도로 데이터를 쓰고 지움.
오류가 발생할 확률이 적음.
용량대비 가격이 매우 비쌈.
MLC
하나의 셀에 2 bits (00, 01, 10, 11) 사용.
SLC 메모리에 비해 느린 속도로 데이터를 쓰고 지움.
SLC 메모리와 같은 셀이라면 2배의 용량을 저장.
가격대비 용량과 적당한 성능이 장점.
TLC
하나의 셀에 3 bit 사용.
SLC, MLC 메모리에 비해 느린 속도로 데이터를 쓰고 지움.
고 용량 설계가 쉽고 단가가 저렴.
많은 데이터를 하나의 셀에 쓰고 지우기 때문에 오류가 발생할 확률이 높고 메모리 수명이 짦음.
파일
응용 프로그램의 처리 단위로 디지털 포렌식 주요 분석 대상.
개념적: 정보의 집합, 또는 관련된 정보의 집합으로 정의.
물리적: 비트의 나열.
텍스트 파일
ASCII 문자열, 유니코드 문자열.
이진 파일
컴퓨터 파일로 컴퓨터 저장과 처리 목적을 위해 이진 형식으로 인코딩된 데이터.
포맷 정보가 없는 문자열 데이터만 포함하는 이진 파일은 완전한 텍스트 파일.
파일 확장자
파일 : 이름 + 확장자
확장자 - 파일의 유형을 나타냄
확장자로 파일 특성 유추 -> 시그니처로 파일의 유형을 파악해야 함.
시그니쳐
파일 내부의 고정된 특정 데이터.
파일의 유형 파악 가능
파일 내부 구조
헤더
시그니쳐: 파일 유형을 나타냄.
전체 파일의 크기
메타데이터의 시작 위치.
메타데이터
데이터 관리 용도.
응용 프로그램에서 생성.
데이터에 관한 데이터.
데이터
파일 구성 실제 컨텐츠.
파일 시스템
컴퓨터에서 파일이나 자료를 쉽게 검색 및 접근할 수 있도록 보관 또는 조직하는 체계.
물리적인 디스크의 파티션 내에서 클러스터 단위 데이터를 배치하고 관리하기 위한 체계.
사용자가 직접 파일을 보관하는 대신 파일 관리자를 두어 저장장치의 관리를 맡기는 시스템.
파일 시스템 고려 사항 - 호환성, 보안, 성능.
파일 시스템 기능
파일 시스템 종류
MS-DOS, Windows
FAT : FAT16, FAT32, exFAT
NTFS
Unix, Linux
ext2, ext3, ext4
기타
CD-ROM, NFS
FAT(File Allocation Table)
마이크로소프트사의 빌게이츠.
장점 - 구조 단순하여 범용성, 휴대용 장치와 호환성.
단점 - 부가 기능 적음, 연결 리스트를 사용한 자료구조 -> 검색 시간 증가, 단편화 현상 -> 비효율적인 헤드 동작
정보를 중심으로 하는 테이블을 이용하는 것.
테이블의 크기를 제한하기 위하여 클러스터라 불리는 하드웨어 섹터에 인접한 그룹에서 디스크 공간이 파일에 할당.
FAT12
QDOS 운영체제에서 파일시스템으로 FAT 선택
클러스터 표현 12bits
FAT16
단순구조
클러스터 표현 16bits.
클러스터 크키가 32KB -> 2GB까지 표현 고용량!
암호화 및 압축이 불가능.
파일명 최대 길이 영문 8자.
VFAT(Virtual FAT)
Windows 95에 FAT 탑재.
기존 FAT (8bytes + 3bytes, 대문자).
LFN 지원
시스템 최대 용량 2GB -> HDD 발전에 따른 제
FAT32
Windows 95 사용자 2GB 넘는 HDD 사용시 파티션 필요.
클러스터 표현 28bits.
최대 2TB까지 지원 - 윈도우에서 32GB로 제한.
암호화 및 압축이 불가능.
파일명의 최대 길이 영문 256자.
클러스터당 4KB 사용하여 단편화를 줄임.
FAT 특징
파일 할당 테이블.
메모리 카드 및 컴퓨터 시스템을 위한 파일 시스템 구조.
ECMA-107 및 ISO/IEC 9293로 표준화.
모든 PC용 운영체제가 지원.
NTFS
마이크로소프트사의 서버급 운영체제인 Windows NT 사용.
가변 클러스터 크기이며, 기본 값 4KB
장점
대용량 장치 지원.
높은 안정성.
부가 기능 제공.
FAT, HPFS의 제약 사항 개선
단점
전체 스펙 미공개
리눅스 등의 OS 지원에 미흡한 부분이 존재
하드디스크 구조
플래터
실제로 데이터가 저장되는 영역.
스핀들 모터
플래터가 회전시켜주는 역할.
액츄에이터 암
헤드를 데이터가 있는 위치로 움직여주는 역할을 담당.
헤드
실제 데이터를 읽고 쓰는 역할을 담당.
커넥터
하드디스크에 전원 공급.
하드디스크와 컴퓨터 사이의 데이터 전송.
Sector
하드디스크의 물리적인 최소 단위
Cluster
섹터를 일정 크기로 묶어 데이터의 입출력 단위를 지정
Track
하드디스크의 물리적인 최소 단위의 모음이며 원심 전체
Cylinder
플래터가 여러 장일 때, 서로 다른 면에 있는 동일한 위치에 있는 트랙의 모음
섹터
컴퓨터가 읽고 쓰는 단위로 1 sector = 512bytes
트랙과 섹터 크기는 하드디스크 제조시 공장에서 작업되어 출력.
실제 각 섹터는 571bytes 공간을 구성.
59bytes: 각 섹터의 고유번호를 저장하는 용도로 사용.
512bytes: 데이터 저장 공간으로 사용.
Cluster
운영체제가 저장장치에 데이터를 읽고 쓰는 논리적인 기본 단위.
운영체제에서 파일시스템 생성시 저장장치의 크기를 고려하여 클러스터의 크기를 조절.
'School > 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 연습문제 기말 (0) | 2024.06.08 |
|---|---|
| 디지털 포렌식 연습 중간고사 과제 모음 (0) | 2024.04.19 |
| 디지털 포렌식 3주차 (0) | 2024.04.18 |
| 디지털 포렌식 2주차 (0) | 2024.04.18 |
| 디지털 포렌식 1주차 (0) | 2024.04.17 |
