2. 섹터와 사본 이미지 생성

이번장은 단순 이론으로 실기에 크게 중요한 내용은 없으니 편하게 읽어만 보고 가는 장입니다.

1. 저장매체와 섹터

저장매체는 bit를 저장할 수 있는 다양한 기기를 저장매체라고 합니다. HDD, SSD, USB 등등...
사실 섹터의 어원은 HDD라는 원판에 데이터가 물리적으로 저장되는 조각난 영역인데 SSD, USB 등 원판과 상관없는 저장매체를 분석할 때에도 섹터라는 용어로 사용합니다. 실제로는 SSD와 같은 메모리 칩에서 물리적으로 저장되는 영역은 블록이라는 개념을 사용하지만, 그래도 이미 섹터라는 용어를 많이 사용해서 그런지 포렌식 도구 등에서 저장매체에서 512Bytes 단위로 나눠서 저장하는 부분을 모두 섹터로 표시하는 용어로 활용하고 있습니다.
저장매체에서 저장영역을 512바이트 단위로 짤라서 0번부터 마지막까지 번호를 붙여 활용합니다. 0번 섹터 ~ 99 섹터, 100개의 섹터를 가진 저장매체의 저장가능 용량 = 100 X 512 = 51200 bytes 저장 가능
대부분 섹터의 크기는 512 바이트 입니다.

이 장에서 가장 중요한 건 "1섹터는 512 바이트다" 입니다. 나머지는 사실 시험에 필요한 배경지식이며 중요한 건 아닙니다.
아래 부분은 참고로 필요 시 한번 읽어보시고 시험대비는 바로 다음 장으로 넘어가서 진행하시면 됩니다.

무료 도구를 사용할 경우 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
EnCase를 사용할 경우 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)

2. 사본 이미지 생성

2-1. 물리이미징

포렌식 관점에서 저장매체의 0번 섹터부터 마지막 섹터까지 그대로 복사하여 파일을 만들었다고 생각해봅시다. 그렇다면 원본과 동일한 데이터가 될 것입니다. 원본의 해시값과, 전체섹터를 복사한 파일의 해시값을 비교하면 동일한 해시값을 가지게 될 것입니다.
기본적으로 포렌식 분석을 함에 있어서 가능하다면 당연히 물리이미징 방식으로 하는 것이 해당 저장매체의 거의 모든 내용을 살펴볼 수 있습니다. 파일 등을 삭제하여 비할당영역으로 된 부분에도 데이터가 남기 때문에 해당 영역 분석을 위해선 물리이미징이 필요하게 되는 것입니다.
용어 정리를 한번 하고 가도록 하겠습니다. 디스크이미징, 물리이미징, 사본이미지 생성 등등 원본 저장매체의 증거 사본을 만드는 개념으로 모두 동일한 의미를 가집니다. 용어 구분이 시험에 있어서 크게 중요하진 않습니다.

2-2. 논리이미징

운영체제 등이 논리적으로 접근 가능한 파일을 대상으로 증거를 수집하는 방식입니다.
단순히 파일을 복사 붙여넣기 했을 때와 가장 큰 차이는 복사 붙여넣기를 한다면 파일의 데이터 영역은 동일하고, 해시값은 데이터 영역 대상이기 때문에 원본의 데이터와 동일한 해시값을 갖습니다. 그러나 시간정보, 경로 등 파일의 정보를 가진 메타데이터는 복사한 파일의 경우 원본과 다르게 됩니다.
논리이미징은 이러한 메타데이터 부분도 함께 수집하게 됩니다.
최근에는 선별수집 원칙으로 인해 가능한 사건과 관련 없는 부분에 대한 수집은 자제하고 있기 때문에 논리이미징도 많이 쓰이게 됩니다.

포렌식 도구가 복구한 파일에 대한 논리이미징? (참고!)

사실 이 부분도 참고만 하시길 바랍니다.(시험과 상관 없음)

포렌식 도구의 경우 비할당 영역등을 분석하여 복구가 가능하다면, 복구를 해서 표시해줍니다. 그리고 이러한 부분을 선택해서 논리이미징으로 추출이 가능합니다.
그런데 기술적으로 본다면 사실 물리이미징의 성격으로 비할당 영역을 분석하여 논리이미징으로 출력하는 것을 지원하고 있습니다.(무슨말이지..?)
기본적으로 논리이미징은 비할당 영역에 대한 수집을 하지 않습니다. 즉, 지워진 영역을 수집 하는건 논리이미징이라고 보기 어려울 수 있습니다.
비할당 영역까지 추출하는건 사실 물리이미징에 해당합니다.
그러나 포렌식 도구의 경우 바로 간단한 분석을 통해 삭제된 파일의 데이터가 비할당영역에 남아 복구 가능할 경우 복구하여 우리가 확인할 수 있게 표시해주며, 논리이미징 방식으로 추출이 가능하게 해주고 있습니다.
사실 선별수집이라고 하더라도 무조건 논리이미징을 해야한다! 이렇게 정해진 것은 아닙니다. 포렌식 도구를 활용하여 선별수집을 하는데 사건과 관련된 삭제된 파일을 찾았다면 당연히 추출하고, 복구가 안되더라도 지워진 흔적이 있다면 또 당연히 비할당 영역도 수집해야 할 것입니다.
물리이미징과 논리이미징 성격을 둘 다 가진 복구한 파일의 대해서 고민해보고 각자의 방식으로 이해할 필요성은 있어 보입니다.(만약 법정 증언을 하게 된다면 본인은 어떻게 답해야 할 지를 정확히 알고 있어야 할 것입니다.)

3. 시험에서의 이미지 생성

3-1. 물리 이미지 생성이 필수인가? (참고)

물리 이미지 생성이 필수일까?

시험대비 하시는 분들은 큰 고민하지 마시고 물리이미징을 바로 진행하면 됩니다! 다만 참고로 이런 부분도 있구나.. 정도로 한번 생각해 볼만한 부분입니다.

디지털포렌식 2급 실기 초창기에는 사본이미지 생성한 파일을 CD로 제출했었습니다. 사본이미지 해시와, 원본 해시를 비교하였을 것으로 보이네요.
다만 분석 대상 USB 용량이 커지고, 윈도우 아티팩트 등의 데이터가 들어가면서 사실상 하드디스크 분석에 가깝게 변경 되었습니다. 제출용 CD/USB 등에 RAW 사본 이미지가 담기지 않고, 이미지를 복사하는 것도 굉장히 오래 걸리기 때문에 변경된 것으로 보입니다.
사본 이미지 생성하지 않고 바로 분석하는 것도 생각해볼 수 있습니다. 실제로, 포렌식 도구는 해당 저장매체가 연결되어 있으면 바로 분석이 가능하기 때문입니다.
만약 시험 문제 답안에 사본이미지의 해시값을 포함해야 할 경우 저장매체를 대상으로 해시값만 계산하면 됩니다. 다만 이미지 획득하고 해시값 계산하는 것 보다는, 저장매체의 해시값만 계산하는 것이 빠를 수 있습니다.
그렇다면 사본이미지를 제출하라는 말이 없으면 사본이미지를 생성할 필요가 없을까요?
- 상황에 따라 다르겠지만, 정말 간단한 분석이라면 사본이미지 생성 없이도 문제 해결이 가능할 수도 있습니다.
- 그러나 분석을 위해 전처리(processing, ingest 등..)를 해야 한다면 이미지 생성하는 것이 빠를 것입니다. USB와 같은 저장매체를 통해 분석하는 것보다, 하드디스크에 이미지를 생성하여 분석하는 것이 속도가 훨씬 빠르고, 안정적일 것입니다.
결론적으로 물리이미징을 한 뒤에 분석하는 것이 여러 가지 면에서 효율적입니다. 그렇다면 이러한 설명은 왜 한 걸까? 실제 현장에서는 물리이미징하는 것이 여의치 않을 수 있습니다.
기술적인 부분에 대해서 이러한 방법도 불가능하지 않다는 것을 설명 드려보려고 몇자 작성해 보았습니다.

3-2. 증거파일에 대한 논리이미징은 해야할까?

사실 제가 알기로는 지금까지는 문제를 해결하면서 발견된 주요 증거를 논리이미징으로 제출한 경우는 없는 것으로 알고 있습니다. 그러나 실제 현업에서는 논리이미징도 자주 사용하고 있습니다.
사실 시험의 대부분의 시나리오에서 증거를 압수한 상태에서 분석하는 시나리오이기 때문에 논리이미징으로 증거파일을 제출한 경우는 없었으나 앞으로는 필요할 수도 있기 때문에 증거 파일을 논리이미징하는 방법도 한번 살펴보겠습니다.(중요도 매우 낮음)
무료도구를 사용할 경우 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
EnCase를 사용할 경우 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)

3줄 요약

저장매체는 섹터를 잔뜩 가지고 있다.
섹터는 512 바이트씩 나눠서 저장한다.
섹터를 전부 그대로 복사하는 것을 물리이미징이라고 하며, 실기시험에서는 필수로 해야하는 작업 입니다. (논리이미징은 개념이 조금 다릅니다. 이후에 알아보도록 합시다.)

Previous1. BIT, BYTE, 파일 그리고 Hash Next2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)

Last updated 10 days ago

1. 저장매체와 섹터

저장매체는 bit를 저장할 수 있는 다양한 기기를 저장매체라고 합니다. HDD, SSD, USB 등등...

사실 섹터의 어원은 HDD라는 원판에 데이터가 물리적으로 저장되는 조각난 영역인데 SSD, USB 등 원판과 상관없는 저장매체를 분석할 때에도 섹터라는 용어로 사용합니다. 실제로는 SSD와 같은 메모리 칩에서 물리적으로 저장되는 영역은 블록이라는 개념을 사용하지만, 그래도 이미 섹터라는 용어를 많이 사용해서 그런지 포렌식 도구 등에서 저장매체에서 512Bytes 단위로 나눠서 저장하는 부분을 모두 섹터로 표시하는 용어로 활용하고 있습니다.

저장매체에서 저장영역을 512바이트 단위로 짤라서 0번부터 마지막까지 번호를 붙여 활용합니다. 0번 섹터 ~ 99 섹터, 100개의 섹터를 가진 저장매체의 저장가능 용량 = 100 X 512 = 51200 bytes 저장 가능

대부분 섹터의 크기는 512 바이트 입니다.

이 장에서 가장 중요한 건 "1섹터는 512 바이트다" 입니다. 나머지는 사실 시험에 필요한 배경지식이며 중요한 건 아닙니다.

아래 부분은 참고로 필요 시 한번 읽어보시고 시험대비는 바로 다음 장으로 넘어가서 진행하시면 됩니다.

2. 사본 이미지 생성

2-1. 물리이미징

포렌식 관점에서 저장매체의 0번 섹터부터 마지막 섹터까지 그대로 복사하여 파일을 만들었다고 생각해봅시다. 그렇다면 원본과 동일한 데이터가 될 것입니다. 원본의 해시값과, 전체섹터를 복사한 파일의 해시값을 비교하면 동일한 해시값을 가지게 될 것입니다.

기본적으로 포렌식 분석을 함에 있어서 가능하다면 당연히 물리이미징 방식으로 하는 것이 해당 저장매체의 거의 모든 내용을 살펴볼 수 있습니다. 파일 등을 삭제하여 비할당영역으로 된 부분에도 데이터가 남기 때문에 해당 영역 분석을 위해선 물리이미징이 필요하게 되는 것입니다.

용어 정리를 한번 하고 가도록 하겠습니다. 디스크이미징, 물리이미징, 사본이미지 생성 등등 원본 저장매체의 증거 사본을 만드는 개념으로 모두 동일한 의미를 가집니다. 용어 구분이 시험에 있어서 크게 중요하진 않습니다.

2-2. 논리이미징

운영체제 등이 논리적으로 접근 가능한 파일을 대상으로 증거를 수집하는 방식입니다.

단순히 파일을 복사 붙여넣기 했을 때와 가장 큰 차이는 복사 붙여넣기를 한다면 파일의 데이터 영역은 동일하고, 해시값은 데이터 영역 대상이기 때문에 원본의 데이터와 동일한 해시값을 갖습니다. 그러나 시간정보, 경로 등 파일의 정보를 가진 메타데이터는 복사한 파일의 경우 원본과 다르게 됩니다.

논리이미징은 이러한 메타데이터 부분도 함께 수집하게 됩니다.

최근에는 선별수집 원칙으로 인해 가능한 사건과 관련 없는 부분에 대한 수집은 자제하고 있기 때문에 논리이미징도 많이 쓰이게 됩니다.

포렌식 도구가 복구한 파일에 대한 논리이미징? (참고!)

사실 이 부분도 참고만 하시길 바랍니다.(시험과 상관 없음)

포렌식 도구의 경우 비할당 영역등을 분석하여 복구가 가능하다면, 복구를 해서 표시해줍니다. 그리고 이러한 부분을 선택해서 논리이미징으로 추출이 가능합니다.
그런데 기술적으로 본다면 사실 물리이미징의 성격으로 비할당 영역을 분석하여 논리이미징으로 출력하는 것을 지원하고 있습니다.(무슨말이지..?)
기본적으로 논리이미징은 비할당 영역에 대한 수집을 하지 않습니다. 즉, 지워진 영역을 수집 하는건 논리이미징이라고 보기 어려울 수 있습니다.
비할당 영역까지 추출하는건 사실 물리이미징에 해당합니다.
그러나 포렌식 도구의 경우 바로 간단한 분석을 통해 삭제된 파일의 데이터가 비할당영역에 남아 복구 가능할 경우 복구하여 우리가 확인할 수 있게 표시해주며, 논리이미징 방식으로 추출이 가능하게 해주고 있습니다.
사실 선별수집이라고 하더라도 무조건 논리이미징을 해야한다! 이렇게 정해진 것은 아닙니다. 포렌식 도구를 활용하여 선별수집을 하는데 사건과 관련된 삭제된 파일을 찾았다면 당연히 추출하고, 복구가 안되더라도 지워진 흔적이 있다면 또 당연히 비할당 영역도 수집해야 할 것입니다.
물리이미징과 논리이미징 성격을 둘 다 가진 복구한 파일의 대해서 고민해보고 각자의 방식으로 이해할 필요성은 있어 보입니다.(만약 법정 증언을 하게 된다면 본인은 어떻게 답해야 할 지를 정확히 알고 있어야 할 것입니다.)

3. 시험에서의 이미지 생성

3-1. 물리 이미지 생성이 필수인가? (참고)

물리 이미지 생성이 필수일까?

디지털포렌식 2급 실기 초창기에는 사본이미지 생성한 파일을 CD로 제출했었습니다. 사본이미지 해시와, 원본 해시를 비교하였을 것으로 보이네요.
다만 분석 대상 USB 용량이 커지고, 윈도우 아티팩트 등의 데이터가 들어가면서 사실상 하드디스크 분석에 가깝게 변경 되었습니다. 제출용 CD/USB 등에 RAW 사본 이미지가 담기지 않고, 이미지를 복사하는 것도 굉장히 오래 걸리기 때문에 변경된 것으로 보입니다.
사본 이미지 생성하지 않고 바로 분석하는 것도 생각해볼 수 있습니다. 실제로, 포렌식 도구는 해당 저장매체가 연결되어 있으면 바로 분석이 가능하기 때문입니다.
만약 시험 문제 답안에 사본이미지의 해시값을 포함해야 할 경우 저장매체를 대상으로 해시값만 계산하면 됩니다. 다만 이미지 획득하고 해시값 계산하는 것 보다는, 저장매체의 해시값만 계산하는 것이 빠를 수 있습니다.
그렇다면 사본이미지를 제출하라는 말이 없으면 사본이미지를 생성할 필요가 없을까요?
- 상황에 따라 다르겠지만, 정말 간단한 분석이라면 사본이미지 생성 없이도 문제 해결이 가능할 수도 있습니다.
- 그러나 분석을 위해 전처리(processing, ingest 등..)를 해야 한다면 이미지 생성하는 것이 빠를 것입니다. USB와 같은 저장매체를 통해 분석하는 것보다, 하드디스크에 이미지를 생성하여 분석하는 것이 속도가 훨씬 빠르고, 안정적일 것입니다.
결론적으로 물리이미징을 한 뒤에 분석하는 것이 여러 가지 면에서 효율적입니다. 그렇다면 이러한 설명은 왜 한 걸까? 실제 현장에서는 물리이미징하는 것이 여의치 않을 수 있습니다.
기술적인 부분에 대해서 이러한 방법도 불가능하지 않다는 것을 설명 드려보려고 몇자 작성해 보았습니다.

3-2. 증거파일에 대한 논리이미징은 해야할까?

사실 제가 알기로는 지금까지는 문제를 해결하면서 발견된 주요 증거를 논리이미징으로 제출한 경우는 없는 것으로 알고 있습니다. 그러나 실제 현업에서는 논리이미징도 자주 사용하고 있습니다.

사실 시험의 대부분의 시나리오에서 증거를 압수한 상태에서 분석하는 시나리오이기 때문에 논리이미징으로 증거파일을 제출한 경우는 없었으나 앞으로는 필요할 수도 있기 때문에 증거 파일을 논리이미징하는 방법도 한번 살펴보겠습니다.(중요도 매우 낮음)

무료도구를 사용할 경우 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)

EnCase를 사용할 경우 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)

3줄 요약

저장매체는 섹터를 잔뜩 가지고 있다.
섹터는 512 바이트씩 나눠서 저장한다.
섹터를 전부 그대로 복사하는 것을 물리이미징이라고 하며, 실기시험에서는 필수로 해야하는 작업 입니다. (논리이미징은 개념이 조금 다릅니다. 이후에 알아보도록 합시다.)