(2020.12.31)
포렌식 스터디 1주차! 에서는 책의 2장을 읽고, 사진 파일에 대한 공부를 했다.
책이 생각보다 개념 위주라서 금방 읽을 수 있었다.
book.naver.com/bookdb/book_detail.nhn?bid=7007687
이제 시작이야! 디지털 포렌식
디지털 포렌식 입문을 위한 첫걸음『이제 시작이야! 디지털 포렌식』. 이 책은 디지털 포렌식에 새로이 입문하는 사람들에게 탄탄한 기초를 제공하는 입문서이다. 디지털 포렌식이 무엇인지,
book.naver.com
참고 도서 : 이제 시작이야! 디지털 포렌식
디지털 포렌식을 공부하기에 앞서 컴퓨터의 내부 환경에 대한 지식이 충분히 있어야한다.
이 책의 2장에서는 핵심적인 기술 개념을 설명하고 있다.
비트, 바이트 그리고 수의 체계
º 바이너리: 2진수 언어, 0과 1로 구성
→ 0과 1은 비트라고 불림
º 바이트: 8개의 비트로 구성
º 헥사데시얼 (헥스): 16진수로 바이너리 표현
º 인코딩: 바이너리 --> 문자로 표현
→ ASCII: 영어표시, 128개 문자 중 94개 문자 출력
→ 유니코드: 전세계 모든 언어 표시
파일 확장자와 파일 시그니처
º 파일 카빙(file carving): 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용
→ 잠재적인 파일 식별 ( 보통 헤더로 파일 식별)
→ 바이너리와 헥스를 식별하는 능력 --> 파일 카빙 가능하게 함
º 파일은 연속적인 비트와 바이트로 구성
º 파일 식별방법
→ 파일 확장자 활용
→ 시그니처 분석: 파일 확장자가 아닌 파일의 헤더로 파일을 식별
저장장치와 메모리
데이터는 전자기, 극미한 전자 트랜지스터(플래시), 빛의 반사(CD,DVD) 세가지 방법으로 생성된다.
º 자기 디스크
- 데이터로 자기로 읽고 씀 --> 입자가 자기화 되면 1, 그렇지 않으면 0
- 포렌식 관점에서 보면, 하드 드라이브의 속도가 빠를수록 더 빨리 데이터를 수집한다.
♪ 하드 드라이브의 구성요소 ♪
플래터: 스핀들(spindle) 중심으로 회전
읽기/쓰기 헤더: 엑추에이터 암에 부착되어있음
엑추에이터 암: 플래터 위를 이동하며 데이터를 읽고 씀
--> 데이터는 읽기/쓰기 헤더를 사용하여 플래터에 물리적으로 쓰여진다.
º 플래시 메모리
- 다양한 기기에 사용됨
- 전기가 차단되어도 데이터가 지워지지 않음
- 트렌지스터로 구성 --> 전하 가지면 1, 가지지 않으면 0
- 플래시 기반의 하드 드라이브 --> 자기드라이브와 다르게 움직이는 부분이 없음
- 디지털 포렌식에 중요 역할을 하고 있음
º 광 저장장치
- 광 디스크에 있는 반사 물질과 레이저를 사용하여 데이터를 쓰고 읽음
- CD, DVD, Blu-ray 등
º 휘발성 vs 비휘발성
| 저장장치 | 메모리 | |
| 공통점 | 데이터를 저장하는 역할을 하는 내부 하드웨어 | |
| 차이점 | 영구적으로 저장하는데 쓰임 | 단기간 데이터를 저장하는 곳에 쓰임 |
컴퓨터 환경
독립형 컴퓨터, 네트워크 컴퓨터, 메임프레임 시스템 등 다양하다.
클라우드 컴퓨팅 : 프로세서, 저장장치, 프로그램 등이 한 위치에서 집중되어 통제됨 ( 메임프레임 시스템과 유사)
클라우드 서비스 - 인프라 서비스, 소프트웨어 서비스, 플랫폼 서비스 포함
IaaS: 기업은 서비스 제공자로부터 하드웨어를 대여 받는다.
PaaS: 개발자가 하드웨어, 운영체제, 저장장치, 서버 등을 빌려준다.
SaaS: 인터넷을 통해 고객이 필요한 소프트웨어를 제공한다.
데이터 종류
º 활성 데이터 : 매일 컴퓨터에서 우리가 사용하는 데이터
- 운영체제는 이러한 파일을 보고 추적함
- 드라이브에 할당된 공간에 있는 파일들
- 윈도우 탐색기를 사용하여 파일 위치를 알아낼 수 있음
º 숨은 데이터 : 이미 삭제된 또는 부분적으로 덮어써진 데이터
- 운영체제에서 더이상 관리하지 않고, 일반 사용자에게 보이지 않음
- 윈도우 탐색기로 찾을 수 없음
- 숨은 데이터를 수집하기 위해서는 비트 스트림이나 포렌식 이미지가 필요함
º 아카이브 데이터
- 여러가지 형태로 존재 ex) 외장하드, DVD, 백업테이프
- 레거시 데이터 : 더 이상 생산되자 않은 하드웨어와 소프트웨어로 만들어지거나 만든 회사가 사라진 경우
파일 시스템
: 파일을 제대로 관리하기 위해 사용하는 방법
파일 시스템의 역할
1. 사용가능한 공간 관리
--> 사용가능한 공간 (할당되지 않은 공간) : 비어있거나 기존의 파일이 삭제된 공간
2. 각 파일의 위치 관리
º FAT(File Allocation Table): 가장 오래된 파일 시스템
최신 운영체제 보다는 플래시 메모리 같은 매체에서 자주 사용됨
FAT12, FAT16, FAT32, FATX 의 4가지 유형이 있음
º NTFS(the New Technology File System): 윈도우 7, 비스타, XP, 서버제품군에서 사용되고 있는 파일 시스템
FAT보다 훨씬 강력하고 다양한 기능을 가짐
º HFS+(Hierarchical File System): 애플 제품에서 사용되는 파일 시스템
개선된 디스크 공간, 플랫폼간의 호환성, 다국적 파일 이름 등 다양하고 향상된 기능을 제공함
할당된 공간과 할당되지 않은 공간
파일 시스템은 하드 드라이브에 있는 공간을 할당된 공간과 할당되지 않은 공간 두가지로 분류함
--> 특정 공간이 사용되고 있거나, 사용되고 있지 않은 것
윈도우는 할당되지 않은 공간에 있는 데이터를 볼 수 없음
사용되고 있지 않은 공간 ≠ 빈공간
자기 하드 드라이브의 데이터 저장 방식
º 섹터(sector): 컴퓨터가 정보를 저장할 때 사용할 수 있는 최소한의 단위
--> 컴퓨터는 섹터라는 정해진 공간에 데이터를 저장
--> 컴퓨터 운영체제는 데이터를 클러스터(cluster)로만 저장
섹터 하나가 512byte인데 1024byte인 evidence.doc 라는 파일을 두개의 섹터에 저장한다.
그리고 evidence.doc 를 삭제하면 삭제될 것이라고 생각하겠지만, 여전히 evidence.doc는 두개의 섹터를 차지하고 있다.
613byte인 new.doc 라는 파일을 다시 저장해준다.
그러면 new.doc로 덮여지지 않은 1024-613=411 byte가 slack space, 즉 슬랙 공간이 된다.
슬랙 공간에서는 기존 파일의 조각을 복구할 수 있다.
º RAM(Random Access Memory) : 컴퓨터의 메인메모리
- 컴퓨터에서 작업 중인 모든 것을 저장함
- 특정 용량의 RAM이 설치됨 --> RAM에 있는 데이터가 페이지 파일로 옮겨짐
- 모든 데이터와 명령어는 RAM에서 CPU로 전달됨
º 가상메모리(= 페이지 파일 = 스웝 공간) : 컴퓨터의 메인메모리인 RAM을 다 사용했을 때 사용하는 것
- 덮어써지기 전까지 데이터는 하드에 남아 있다.
- 페이지 파일은 지속적으로 사용되는 것이 아니기 때문에 일부 데이터는 오랫동안 저장되어 있을 수도 있다.
- 페이지 파일에는 특정 시점에 RAM에 저장되어 있던 데이터가 저장된다.
--> 어떤 데이터도 저장될 수 있다는 의미이다.
컴퓨터의 기본 기능
파일의 시작 부분 : 헤더 --> 파일의 종류 식별, 사용자는 헤더에 접근 불가
파일의 끝 부분: 푸터
º 파일 저장 후 파일 열 때:
워드 문서를 하드드라이브에 저장했다!! → 파일의 조각들이 플래터에 존재하게 된다.
→ 파일을 더블클릭하면, 컴퓨터는 파일 시스템으로부터 할당된 모든 섹터의 위치를 받아서 파일을 재구성한다.
º 파일 작업 할 때 :
RAM 로드 → CPU로 파일 전달 되어 작업
CPU는 파일이 RAM으로 로드되기 전까지 작업할 수 없다
'Security > Digital Forensic' 카테고리의 다른 글
| [포렌식] FTK Imager 설치하기 + 사용법 (0) | 2021.01.21 |
|---|---|
| [포렌식] 2주차 - 증거 수집: 클로닝과 해싱 (0) | 2021.01.17 |
| [포렌식] 2주차 - 랩과 툴 (0) | 2021.01.17 |
| [포렌식] 1주차 - 헤더/푸터 시그니처, HxD/foremost 도구 사용법 (0) | 2021.01.05 |
| [포렌식] HxD Hex Editor 다운로드 및 설치 (0) | 2021.01.05 |
