포렌식을 위한 기초지식(2)

출처

http://book.naver.com/bookdb/book_detail.nhn?bid=7007687

 

 

 

◆ 할당된 공간, 할당되지 않은 공간

파일시스템 → 하드드라이브에 있는 공간을 할당된 공간, 할당되지 않은 공간으로 분류 ( 예외존재 → 호스트 보호 영역 )

​

- 호스트 보호 영역(HPA)과 디바이스 설정 오버레이(DCO) : 하드드라이브의 숨겨진 영역, 탐지 어렵

최종 사용자가 특정 오픈소스나 무료 툴을 사용해 접근, 수정 및 쓰기가 가능하며 이러한 영역에 데이터가 저장, 숨겨질 수 있또록 해줌

​

운영체제에게 있어 할당되지 않은 공간에 있는 파일 = 전혀 볼 수 없는 것

but "사용되고 있지 않는" != "빈 공간"

​

· 데이터의 영속성 : 데이터는 하드 드라이브에 남아있따. 데이터를 완전히 삭제하는 것은 쉽지 않다.

​

· 슬랙공간: 특정공간을 할당 받은 파일이 그 공간을 모두 사용하지 않는 경우, 원본파일은 일부만 덮어 써진다. 남은 부분은 복원가능하며 실제 사용할 수 있는 정보가 있을 수 있다.

​

​

◆ 자기 하드 드라이브의 데이터 저장방식

· 섹터(sector) : 데이터를 저장할 때 사용할 수 있는 최소한의 단위, 512 바이트의 데이터 저장 가능

· 클러스터(cluster) : 컴퓨터 운영체제가 데이터를 저장하는 할당단위

512바이트짜리 섹터를 이용하는 디스크에서, 512바이트짜리 클러스터는 하나의 섹터를 가지며, 4키비바이트 (KiB)짜리 클러스터는 8개의 섹터를 가진다. (출처: 위키백과)

​

​

​

만약, 1024바이트짜리 Homework.doc 파일을 컴퓨터 하드에 저장했다고 가정해보자

컴퓨터에서 이 파일을 휴지통으로 버리면 Homework.doc 에 있는 모든 정보가 삭제되었을 것이라고 생각할 수 있지만,

삭제된 파일은 여전히 원래 사용하던 두 개의 섹터를 그대로 사용하고 있다.

며칠 뒤 새로운 파일인 New.doc을 하드에 저장한다. 크기는 780바이트이다.

New.doc가 Homework.doc이 있던 자리에 저장되며 원본 파일의 대부분을 덮어썼다. 덮어쓴 파일은 복구가 불가능하다.

하지만 덮어써지지 않은 남은 244바이트는 슬랙공간으로, 이 데이터 조각으로 복원이 가능하다. 슬랙공간은 사용자나 운영체제가 접근 X

​

​

· 페이지 파일(스웝 공간) : 가상 메모리

- 하드 드라이브 : 현재 사용하지 않는 데이터와 프로그램 저장하는데에 사용됨

다른 하드웨어와 비교하여 가장 느림 → 컴퓨터에서 실행시키는 프로그램 많으면 컴퓨터가 갑자기 느려지고 하드 드라이브가 움직이는 소리가 들림 ☞ 가상 메모리를 사용

- 컴퓨터의 메인 메모리(RAM)를 완전히 다 사용했을 때에만 사용

☞드라이브 어디에도 없는 파일이나 파일조각이 페이지 파일에 저장되어 있을 수도 있어 중요함

▷ 덮어쓰기 전까지 데이터는 하드에 남아있음

▷ 페이지 파일은 지속적으로 사용 X → 일부 데이터가 오랫동안 저장되어 있을 수 있음

▷ 특정시점에서 RAM에 저장되어 있던 데이터가 저장됨 ☞ 어떤 데이터도 저장 가능 !

​

​

◆ 정리

· 헤더 : 파일의 시작 부분

메타데이터(데이터에 관한 데이터) 형태

파일의 종류 식별하는 데에 사용

대부분의 사용자는 헤더에 접근 X

· 푸터 : 파일의 끝 부분

​

하드 드라이브에 저장된 파일 → 연속적인 클러스터에 반드시 저장되는 것 X

파일 조각이 플래터의 다른 부분에 있을 수 있음

​

[파일작업 시]

캐비닛 하드 드라이브 : 지금 당장 사용하고 있지 않는 파일 저장

책상 RAM : 파일 작업을 하려면 컴퓨터의 메인메모리인 RAM으로 로드

사람 CPU : 파일이 CPU로 전달되어 작업 가능

​