- 하드디스크 저장방식
● CHS 방식
◇ 하드디스크의 실린더(Cylinder), 헤드(Head), 섹터(Sector) 구조를 기반으로 물리적인 주소를 지정하는 방식. 하드디스크 용량이 커짐에 따라 사용되지 못하고 LBA 방식을 사용하게 됨.
ex) CHS(21,3,20) -> 하드디스크의 3번째 헤드를 21번째 실린더, 20번째 섹터에 위치시킴
● LBA 방식
◇ 하드디스크 내부에 존재하는 모든 섹터들을 일려로 늘어뜨린 후 논리적인 번호를 지정하는 방식
● ZBA 방식
◇ 플래터의 트랙 길이가 내부보다 외부가 더 길다는 점을 이용하여 길이가 길수록 더 많은 섹터를 할당하는 방식. 트랙의 길이마다 섹터의 수가 다르기 때문에 데이터를 읽고 쓸 때 트랙에 섹터 수를 정확히 알고 있어야함.
※ CHS, LBA의 경우 트랙의 섹터수가 모두 동일함. 참조(http://forensic-proof.com/archives/355)
- 하드디스크 숨김 영역
● HPA(Host Protected Area)
◇ 데이터를 저장할 수 있는 영역이고 일반 사용자가 볼 수 없는 영역임. 하드디스크 끝에 위치. ATA-4 추가
◇ HPA 영역을 확인하는 ATA 컨트롤러 명령어 -> IDENTIFY DEVICE(접근), SET MAX ADDRESS(설정), READ NATIVE MAX ADDRESS(접근)
READ_NATIVE_MAX_ADDRESS - IDENTIFY_DEVICE > 0 이면 HPA 존재
◇ 확인도구 : BXDR, diskstat, DRIVEID, hpa
● DCO(Device Configuration Overlay)
◇ 데이터를 저장할 수 있는 영역이면서 일반 사용자가 볼 수 없는 영역임. ATA-6 추가
◇ DCO 영역을 확인하는 ATA 컨트롤러 명령어 -> DEVICE CONFIGURATION SET(설정), DEVICE CONFIGURATION IDENTIFY(접근), DEVICE CONFIGURATION RESTORE(제거)
DEVICE_CONFIGURATION_IDENTIFY : 하드디스크 전체 크기 불러오는 명령(HPA,DCO포함)
READ_NATIVE_MAX_ADDRESS : HPA가 있는 상태면 HPA 영역의 크기를 불러오는 명령(DCO 제외)
IDENTIFY_DEVICE : 하드디스크 크기를 불러오는 명령(HPA, DCO 제외)
DEVICE_CONFIGURATION_IDENTIFY = READ_NATIVE_MAX_ADDRESS = IDENTIFY_DEVICE 이면 숨김영역이 없다는 뜻!!
◇ 확인도구 : Image MASSter Solo 2
● HPA, DCO 확인 도구
◇ The ATA Forensics Tool (TAFT) by Arne Vidstrom.
◇ EnCase for DOS by Guidance Software
◇ FTK (Forensic Toolkit) by AccessData
◇ HD Tune Pro
그림 1) HPA, DCO 구별
(http://forensic-proof.com/archives/284)
● OS, BIOS로부터 보이지 않는 HPA, DCO는 사용자에 의해 변경이 가능(Rootkit 설치 등...)
● HDD 증거 수집 시 ATA버전, HPA, DCO 지원 여부 고려가 중요
- 데이터 수집
● 컨트롤러의 직접 접근
◇ 소프트웨어로 하드디스크 컨트롤러를 통해 디스크 데이터에 접근하는 방법. 단 컨트롤러의 주소지정, 데이터 읽기&쓰기 명령어 등 세부사항을 모두 인지해야함.
● 컨트롤러의 BIOS 접근
◇ BIOS를 통해 디스크 데이터에 접근하는 방법. 섹터 주소&크기와 같은 데이터를 레지스터에 적재 후 인터럽트 명령어 0x13(INT13h) 실행
● 동적 수집
◇ 운영체제가 동작하는 상태에서 데이터를 수집하는 단계임. 시스템이 악성코드에 의해 피해를 받았을 경우 변조된 데이터를 추출할 수 있기 때문
● 정적 수집
◇ 이동장치로 부팅하여 분석 대상 시스템의 데이터를 수집함.
'Computer > #Go2 포렌식' 카테고리의 다른 글
File System #3 (0) | 2014.01.14 |
---|---|
File System #2 (0) | 2013.12.23 |
Memory 분석 (0) | 2013.10.10 |
Live Response (0) | 2013.10.08 |
들어가며... (0) | 2013.10.07 |