디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 저장매체
  • 2. 저장매체에 저장되는 데이터
  • 3. 섹터(Sector)
  • 4. 저장매체의 복제와 물리이미징
  • 4-1) 저장매체의 복제
  • 4-2) 물리 이미징(Physical Imaging)
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장

2) 저장매체와 섹터 그리고 물리이미징

1. 저장매체

  • 저장매체의 종류는 다양하게 있지만.. 대표적인 몇 가지 알아보도록 하겠습니다. (ChatGPT 한테 물어 봤더니 이렇게 알려주네요..) 블루레이니.. 뭐니 훨씬 많지만.. 특별히 중요하진 않습니다.

대표적인 종류
특징

하드디스크 드라이브(HDD)

하드 디스크는 회전하는 자기 디스크 위에 데이터를 기록하는 방식으로 동작합니다. HDD는 용량이 크고 비교적 저렴하여 많은 데이터를 저장하기에 적합합니다.

SSD(Solid State Drive)

SSD는 기계 부품이 없는 반도체 메모리를 사용하여 데이터를 저장합니다. HDD보다 빠른 데이터 액세스 속도와 향상된 내구성을 제공하며, 최근 컴퓨터 및 노트북에서 많이 사용됩니다.

소형 디지털 저장매체

USB 플래시 드라이브, 메모리 카드 등이 포함됩니다. 이러한 저장매체는 소형이고 휴대성이 용이하며, 컴퓨터 간에 데이터를 쉽게 이동할 수 있습니다.

외장 하드 드라이브

일반적으로 HDD 또는 SSD 기술을 사용하여 컴퓨터에 연결할 수 있는 포터블한 저장 장치입니다. 보통 데이터 백업이나 이동성이 필요한 경우에 사용됩니다.

네트워크 저장장치

네트워크를 통해 다양한 디바이스에서 액세스할 수 있는 저장 장치입니다. 주로 가정이나 사무실에서 파일 공유, 데이터 백업 등에 사용됩니다.

2. 저장매체에 저장되는 데이터

  • 위 저장매체를 간단히 소개한 이유는 사실은 이것을 설명하기 위함입니다.

  • 저장매체에는 다양한 특성이 있긴 하겠으나 결론적으로 0과 1 을 나타내는 bit를 저장하기 위한 용도입니다.

  • 저장매체는 bit를 빠르게 쓰고/읽고, 대용량일 수록 좋겠지만..

  • 당연하게도 무한정 빠르고, 무한 용량을 가진 저장 매체는 없습니다. 현 상황에서 그나마 효율적으로 저장하고 효율적인 속도에 효율적인 용량에 합당한 가격으로 형성된 다양한 저장매체가 있을것입니다.

  • 저장매체에 저장되는 데이터의 총 용량은 저장 가능한 bit의 갯수 일 것입니다. 보통은 바이트 단위로 스팩을 표기하니 앞으로는 bit라는 용어보다는 실제로 많이 쓰이는 바이트, 섹터 단위를 사용하도록 해보죠!

3. 섹터(Sector)

섹터는 뭐야? (ChatGPT 답변)

  • 섹터는 하드 디스크나 SSD와 같은 저장 장치에서 데이터를 저장하는 최소 단위입니다. 이러한 저장 장치는 표면을 원형으로 나누고, 각 부분을 섹터로 구분합니다. 각 섹터는 고정된 크기를 가지며, 일반적으로 512바이트 크기를 가집니다.

  • 섹터는 데이터의 물리적인 저장과 읽기를 관리합니다. 운영체제 및 파일 시스템은 섹터를 기반으로 데이터를 관리하며, 파일을 읽거나 쓸 때 섹터 단위로 작업을 수행합니다. 예를 들어, 파일 시스템은 파일을 섹터에 저장하고 파일에 접근할 때 해당 섹터를 식별하여 데이터를 읽거나 씁니다.

  • 하드 디스크와 같은 기계적 저장 장치에서는 섹터가 디스크의 회전하는 표면에 물리적으로 표시되어 있습니다. 데이터를 읽거나 쓸 때 디스크 헤드가 움직여 해당 섹터를 읽거나 씁니다. SSD와 같은 전자식 저장 장치에서는 섹터가 메모리 칩에 물리적으로 표시되어 있으며, 데이터는 전자적으로 읽고 씁니다.

  • 섹터는 데이터의 물리적인 저장과 읽기를 관리하는 데 사용되며, 하드웨어와 소프트웨어 간의 상호 작용을 지원합니다.

이것만 알면 됩니다. 1섹터는 512 bytes 이다.

  • 사실 섹터의 어원은 HDD라는 원판에 데이터가 물리적으로 저장되는 조각난 영역인데 SSD, USB 등 원판과 상관없는 저장매체를 분석할 때에도 섹터라는 용어로 사용합니다. 실제로는 SSD와 같은 메모리 칩에서 물리적으로 저장되는 영역은 블록이라는 개념을 사용하지만, 그래도 이미 섹터라는 용어를 많이 사용해서 그런지 포렌식 도구 등에서 저장매체에서 512Bytes 단위로 나눠서 저장하는 부분을 모두 섹터로 표시하는 용어로 활용하게 되었습니다. 최근에는 하드디스크는 4KB(4,096바이트)를 1섹터 크기로 사용한다고 하네요. 그냥 섹터로 통일되서 많이 쓰고 있습니다.

  • 간단하게 섹터는 저장매체에서 bit의 나열 중 512bytes(4,096 bit) 씩 나눈 영역으로 만약 저장매체가 2,048 bytes 를 저장할 수 있는 용량을 가졌다면, 4개의 섹터로 구분할 것입니다. 0번 섹터 ~ 3번 섹터(총 4개의 섹터 512 X 4 = 2,048 bytes) 의미 합니다.

  • 물론 섹터의 크기는 조절하기 나름이긴 대부분은 512 bytes를 사용하고 있습니다. 보통은.. 하나의 섹터안에 다른 파일의 데이터를 저장하는 경우는 잘 없을 것입니다. (추후에 용량이 더 커진다면 일반적인 섹터의 크기도 커질 수도 있겠지요..)

4. 저장매체의 복제와 물리이미징

4-1) 저장매체의 복제

디지털 저장매체를 원본은 그대로 두고 복사본으로 분석할 경우 어떻게 해야 할까?

우리가 알고 있는 것 1. 디지털데이터는 bit의 나열이다 2. 저장매체는 bit를 저장하고 있다. 그렇다면 만약 증거로 수집한 저장매체를 그대로 똑같이 만들기 위해서 어떻게 해야할까?

  • 가장 확실한 방법은 저장매체에 처음부터 끝까지 (0번 섹터부터 끝 섹터까지) bit의 나열을 모두 그대로 복사하여 만들면 되지 않을까?

  3. 원본 저장매체의 0번 섹터부터 마지막 섹터까지 하나의 파일 형태로 만들 수 있지 않을까? -> 전체 저장매체를 그대로 파일 형태로 만드는 것(물리 이미징 Physical Imaging)

4-2) 물리 이미징(Physical Imaging)

  • 물리 이미징은 디스크의 모든 섹터를 순서대로 복사하여 파일 형태로 만들게 됩니다. 파일 하나로 만들어 질 수도 있으나 용량이 매우 크다면 분할된 형태의 파일로 이미지 파일이 생성되기도 합니다.

  • 논리 이미징도 있으나 논리 이미징은 파일시스템을 이해한 뒤에 이해해 봅시다.

왜 이미징이란 단어를 썼을까? (ChatGPT 답변) [참고]

디스크 이미징(disk imaging)이라는 용어는 컴퓨터 저장 매체의 완벽한 복사본을 만드는 과정을 설명하기 위해 사용됩니다. 이 용어가 "이미지(image)"라는 단어와 관련이 있지만, 컴퓨팅 분야에서의 "이미징(imaging)"은 디지털 데이터 복사와 백업의 맥락에서 특별한 의미를 갖습니다.

이미징 vs. 이미지

1. 컴퓨터 과학에서의 "이미지(Image)"

  • 일반적인 이미지: 사진이나 그림 같은 시각적 미디어를 나타냅니다. 이는 픽셀 데이터로 구성된 2D 그래픽입니다.

  • 컴퓨터 과학에서의 이미지: 특정 시스템의 상태나 데이터의 완전한 스냅샷을 나타내는 데 사용됩니다. 예를 들어, 시스템 이미지 또는 디스크 이미지는 해당 시스템이나 디스크의 완전한 복사본을 의미합니다.

2. "이미징(Imaging)"의 의미와 사용례

  • 디스크 이미징: 디스크 이미징은 저장 장치의 전체 데이터와 구조를 파일 형태로 복사하는 프로세스입니다. 이 프로세스는 해당 디스크의 모든 정보를 포함한 '디스크 이미지'를 생성합니다.

  • 의료 분야에서의 이미징: 의료 분야에서 '이미징'은 X-ray, MRI, CT 스캔 등을 통해 신체 내부의 이미지를 생성하는 과정을 의미합니다. 이는 보이지 않는 내부 상태를 시각화합니다.

왜 "이미징"이라는 용어를 사용하는가?

  1. 완전성(Completeness): "이미징"이라는 용어는 단순히 데이터를 복사하는 것 이상의 의미를 가집니다. 디스크 이미징은 디스크의 모든 섹터와 데이터를 포함하여 완벽한 복제본을 만듭니다. 이는 파일 시스템의 메타데이터, 숨겨진 파티션, 부팅 정보 등 모든 것을 포함합니다.

  2. 복원성(Restorability): 이미지 파일은 원본 디스크의 정확한 복사본을 담고 있기 때문에, 이를 사용해 원본 디스크와 동일한 상태로 시스템을 복원할 수 있습니다. 이 과정에서 '이미징'은 백업과 복구의 중요한 요소로 작용합니다.

  3. 용도 및 범위: "이미징"은 단순한 데이터 복사를 넘어서, 시스템 마이그레이션, 데이터 복구, 포렌식 분석 등 다양한 분야에서 사용됩니다. 이러한 맥락에서, 이미징은 데이터의 정확한 시점 복사본을 생성하는 포괄적인 프로세스를 설명합니다.

  4. 산업 표준: 디스크 이미징은 IT 산업에서 널리 인정받는 표준 용어입니다. IT 전문가들은 시스템 백업, 복제, 및 복구를 설명할 때 이 용어를 사용합니다.

이미징과 관련된 기술 용어

  • 디스크 이미지(Disk Image): 디스크의 완벽한 복사본을 담은 파일로, 디스크의 구조와 데이터를 모두 포함합니다.

  • 클로닝(Cloning): 디스크의 완전한 복제 과정을 의미하며, 이미징과 비슷하지만 주로 하드웨어 레벨에서 사용됩니다.

  • ISO 이미지: 주로 CD나 DVD의 완벽한 복사본을 담은 파일 형식입니다. 이는 디스크 이미징의 한 예로, 디스크의 모든 데이터와 메타데이터를 포함합니다.

  • 복제(Replication): 데이터를 정확히 복사하는 프로세스를 일반적으로 설명하는 데 사용되며, 네트워크를 통한 데이터 복제나 시스템 복제 등에 적용됩니다.

결론

디스크 이미징은 데이터의 완벽한 복사본을 만드는 데 중요한 역할을 하는 과정입니다. "이미징"이라는 용어는 이 프로세스의 완전성, 복원 가능성, 다양한 용도를 잘 나타내며, 디지털 데이터 관리의 중요한 측면을 설명합니다. 이는 단순히 데이터를 복사하는 것을 넘어서, 데이터를 완전히 보존하고 필요한 상황에서 원래 상태로 복원할 수 있는 능력을 의미합니다.

물리이미징 디스크이미징 뭐가 옳은 용어야? (ChatGPT 답변) [참고]

"물리 이미징(Physical Imaging)"과 "디스크 이미징(Disk Imaging)"은 모두 컴퓨터 저장 장치의 데이터를 복사하는 과정을 설명하는 용어로 사용되지만, 그 의미와 사용 상황에 약간의 차이가 있습니다. 이 차이를 정확히 이해하려면 각 용어의 정의와 일반적인 사용 맥락을 살펴볼 필요가 있습니다.

물리 이미징 (Physical Imaging)

물리 이미징은 주로 디지털 포렌식과 데이터 복구 분야에서 사용되는 용어입니다. 이 용어는 저장 장치의 물리적인 섹터를 바이트 단위로 완전히 복사하는 과정을 말하며, 이 과정에서 파일 시스템의 구조와 상관없이 저장 장치에 기록된 모든 데이터를 이미지 파일로 변환합니다.

  • 특징 및 사용 상황:

    • 완전성: 디스크의 모든 섹터를 포함하는 완벽한 데이터 복사를 생성합니다.

    • 용도: 주로 디지털 포렌식에서 증거를 보존하거나 데이터 복구를 위해 사용됩니다.

    • 데이터 복사: 파일 시스템의 메타데이터, 숨겨진 파일(미할당 영역), 삭제된 데이터 등 디스크에 있는 모든 정보를 포함합니다.

    • 도구: dd, FTK Imager, OSForensics 등.

디스크 이미징 (Disk Imaging)

디스크 이미징은 보다 광범위하게 사용되는 용어로, 하나의 저장 장치에서 다른 저장 장치로 데이터를 복사하는 과정을 포괄적으로 설명합니다. 이 과정은 운영 체제, 응용 프로그램, 설정 등 디스크에 저장된 모든 것을 포함할 수 있으며, 시스템 백업, 복제, 마이그레이션 등 다양한 목적으로 사용됩니다.

  • 특징 및 사용 상황:

    • 다목적: 백업, 시스템 이전, 데이터 복제 등 여러 목적으로 사용됩니다.

    • 부팅 가능: 이미징된 디스크는 원본 디스크처럼 부팅 가능한 상태를 유지할 수 있습니다.

    • 복원 용이: 시스템 복원, 데이터 복구 등에 사용될 수 있으며, 전체 시스템을 이전 상태로 빠르게 복원할 수 있습니다.

    • 도구: Clonezilla, Acronis True Image, Norton Ghost, Macrium Reflect 등.

용어 선택 기준

  1. 목적과 맥락:

    • 물리 이미징: 디스크의 물리적인 구조를 그대로 복사할 필요가 있을 때, 특히 포렌식 분석이나 데이터 복구에서 정확한 복제가 필요한 경우에 적합합니다.

    • 디스크 이미징: 시스템 백업, 복제, 마이그레이션 등 보다 일반적인 데이터 복사와 관련된 작업에 사용됩니다.

  2. 상세성:

    • 물리 이미징은 디스크의 바이트 단위 복사에 초점을 맞추며, 포렌식 분야에서의 정밀함과 완전성이 강조됩니다.

    • 디스크 이미징은 전체 디스크를 복사하는 것을 의미하지만, 물리적 복사뿐만 아니라 논리적 복사도 포함될 수 있습니다.

  3. 툴과 사용자 경험:

    • 물리 이미징 도구는 데이터를 원시 형태로 처리하며, 사용자에게 디스크의 구조를 수정하지 않고 복사하는 기능을 제공합니다.

    • 디스크 이미징 도구는 사용자에게 보다 친숙하며, GUI 기반 인터페이스를 통해 다양한 복사 및 복구 옵션을 제공합니다.

결론

"디스크 이미징"은 저장 장치의 데이터를 복사하는 일반적인 과정을 설명하는 데 쓰이는 용어로, 백업, 복구, 마이그레이션 등 다양한 상황에서 사용됩니다. 반면, "물리 이미징"은 디스크의 데이터를 더 정밀하게, 섹터 단위로 복사하는 특정한 작업을 설명하는 데 사용되며, 주로 포렌식 분석이나 데이터 복구에서 사용됩니다. 따라서 용어 선택은 사용 목적과 맥락에 따라 달라질 수 있습니다. 일반적인 사용자나 백업 및 복구를 목적으로 한다면 "디스크 이미징"이 적합하고, 포렌식 또는 정밀한 데이터 복구 작업을 수행할 때는 "물리 이미징"을 사용하는 것이 좋습니다.

3줄 요약

  1. 1 섹터는 512 bytes

  2. 물리이미징은 0섹터 부터 마지막 섹터까지 모든 bit를 복사해서 파일형태로 만듬

  3. 물리이미징을 왜하냐? 원본이 아닌 사본으로 분석하기 편하려고~~ 지금은 raw 이미징에 대해서만 설명했으나 이 후 압축된 물리이미징도 알아보자!

Previous1-2) BIT의 저장(참고)Next2-1) 가상 디스크 설정

Last updated 17 days ago

원본 저장매체와 그대로 똑같은 하드디스크에 처음부터 끝까지 동일한 데이터 저장

원본 저장매체보다 용량이 큰 동일한 저장매체 혹은 다른 저장매체에 저장하는 방법 * 당연히 원본보다 작은 용량에 저장은 안되겠죠!?