File System #1

- 하드디스크 저장방식

  ● CHS 방식

    ◇ 하드디스크의 실린더(Cylinder), 헤드(Head), 섹터(Sector) 구조를 기반으로 물리적인 주소를 지정하는 방식. 하드디스크 용량이         커짐에 따라 사용되지 못하고 LBA 방식을 사용하게 됨.

ex) CHS(21,3,20) -> 하드디스크의 3번째 헤드를 21번째 실린더, 20번째 섹터에 위치시킴

  ● LBA 방식

    ◇ 하드디스크 내부에 존재하는 모든 섹터들을 일려로 늘어뜨린 후 논리적인 번호를 지정하는 방식

  ● ZBA 방식

    ◇ 플래터의 트랙 길이가 내부보다 외부가 더 길다는 점을 이용하여 길이가 길수록 더 많은 섹터를 할당하는 방식. 트랙의 길이마다         섹터의 수가 다르기 때문에 데이터를 읽고 쓸 때 트랙에 섹터 수를 정확히 알고 있어야함.

※ CHS, LBA의 경우 트랙의 섹터수가 모두 동일함. 참조(http://forensic-proof.com/archives/355)

- 하드디스크 숨김 영역

  ● HPA(Host Protected Area)

    ◇ 데이터를 저장할 수 있는 영역이고 일반 사용자가 볼 수 없는 영역임. 하드디스크 끝에 위치. ATA-4 추가

    ◇ HPA 영역을 확인하는 ATA 컨트롤러 명령어 -> IDENTIFY DEVICE(접근), SET MAX ADDRESS(설정), READ NATIVE MAX ADDRESS(접근)

READ_NATIVE_MAX_ADDRESS - IDENTIFY_DEVICE > 0 이면 HPA 존재

    ◇ 확인도구 : BXDR, diskstat, DRIVEID, hpa

  ● DCO(Device Configuration Overlay)

    ◇ 데이터를 저장할 수 있는 영역이면서 일반 사용자가 볼 수 없는 영역임. ATA-6 추가

    ◇ DCO 영역을 확인하는 ATA 컨트롤러 명령어 -> DEVICE CONFIGURATION SET(설정), DEVICE CONFIGURATION IDENTIFY(접근), DEVICE CONFIGURATION RESTORE(제거)

DEVICE_CONFIGURATION_IDENTIFY : 하드디스크 전체 크기 불러오는 명령(HPA,DCO포함)

READ_NATIVE_MAX_ADDRESS : HPA가 있는 상태면 HPA 영역의 크기를 불러오는 명령(DCO 제외)

IDENTIFY_DEVICE : 하드디스크 크기를 불러오는 명령(HPA, DCO 제외)

DEVICE_CONFIGURATION_IDENTIFY = READ_NATIVE_MAX_ADDRESS = IDENTIFY_DEVICE 이면 숨김영역이 없다는 뜻!! 

    ◇ 확인도구 : Image MASSter Solo 2

  ● HPA, DCO 확인 도구

    ◇ The ATA Forensics Tool (TAFT) by Arne Vidstrom.

    ◇ EnCase for DOS by Guidance Software

    ◇ FTK (Forensic Toolkit) by AccessData

    ◇ HD Tune Pro

그림 1) HPA, DCO 구별

(http://forensic-proof.com/archives/284)

  ● OS, BIOS로부터 보이지 않는 HPA, DCO는 사용자에 의해 변경이 가능(Rootkit 설치 등...)

  ● HDD 증거 수집 시 ATA버전, HPA, DCO 지원 여부 고려가 중요

- 데이터 수집

  ● 컨트롤러의 직접 접근

    ◇ 소프트웨어로 하드디스크 컨트롤러를 통해 디스크 데이터에 접근하는 방법. 단 컨트롤러의 주소지정, 데이터 읽기&쓰기 명령어 등         세부사항을 모두 인지해야함.

  ● 컨트롤러의 BIOS 접근

    ◇ BIOS를 통해 디스크 데이터에 접근하는 방법. 섹터 주소&크기와 같은 데이터를 레지스터에 적재 후 인터럽트 명령어         0x13(INT13h) 실행

  ● 동적 수집

    ◇ 운영체제가 동작하는 상태에서 데이터를 수집하는 단계임. 시스템이 악성코드에 의해 피해를 받았을 경우 변조된 데이터를 추출할         수 있기 때문

  ● 정적 수집

    ◇ 이동장치로 부팅하여 분석 대상 시스템의 데이터를 수집함.