self study

다운받은 이미지 파일을 ftk imager로 열고 문제가 휴지통에 자기 책을 삭제했으니까 휴지통을 확인

다행스럽게 빠르게 답이 나왔다.

- FAT(File Allocation Table)

그림 1) FAT Reserved 영역의 추상화한 그림(http://forensic-proof.com/archives/372)

 △ 예약영역 : FAT 파일시스템의 가장 앞부분에 위치하고, 부트섹터 등 파일시스템 설명하는 데이터를 포함하고 있음

                    (FAT12/16) 1섹터만!

                    (FAT32 Only!!)부트섹터는 0,6번 섹터, FSINFO는 1,7, 부트섹터의 부트코드영역 부족시 사용하는 2,8번섹터

                    offset 14-15를 확인하여 섹터 수를 확인!

   ▶ 필수 부트 섹터 데이터(36Bytes) + 부가 부트 섹터 데이터(12,16, 32 각 다름) + 시그니처(55AA)

   ▶ 예약영역 구조

 △ FAT : 파일의 다음 클러스터와 할당상태 식별 위한 데이터를 갖는 구조체(비할당상태(삭제):offset 0번째 1바이트로 0xE5, 0X00 임)

             백업 FAT 구조체를 포함하는 영역이고 예약 영역 바로 다음 섹터에서 시작

   ▶ FAT 그림

그림 2) FAT 구조체

 △ DATA  : 파일과 디렉토리 내용 저장영역

 △ 디렉토리 엔트리

   ▶ 각 파일과 디렉토리의 메타데이터

   ▶ 디렉토리 엔트리가 위치하는 영역은 Data Area임

- 볼륨 & 파티션

  ● 파티션 : 연속된 저장공간을 하나 이상의 논리적으로 나누어 사용할 수 있도록 분할한 공간

  ● 볼륨 : 파일 시스템으로 포맷된 디스크 상의 저장 영역을 의미. OS나 응용프로그램 등에서 이용할 수 있는 저장공간, 섹터들의 집합!

 ※ 파티션과 볼륨의 차이

그림 1) 볼륨 & 파티션 차이

(http://cappleblog.co.kr/130)

 볼륨과 파티션은 같은 개념으로도 사용하지만 엄밀히 말하자면, 볼륨은 연속된 공간이 아니어도 하나 이상의 저장 공간을 부르는 것이고 파티션은 연속되어 있는 볼륨 섹터들의 집합을 말한다. 

 ※ 일관성 검사 : 파티션을 제외한 영역에 증거가 존재하는지 조사하는 기능을 말함

- MBR(Master Boot Record)

512byte(1Sector) 크기의 구조체로 부팅을 하기 위해 가장 먼저 읽히는 곳이다.

해당 구조는 아래 그림과 같다.

그림 2) MBR 구조

- MBR 구조

표 1) MBR 구조

- 파티션 테이블 엔트리 구조(MBR의 부분)

표 2) MBR의 파티션 테이블 엔트리 구조

- 하드디스크 저장방식

  ● CHS 방식

    ◇ 하드디스크의 실린더(Cylinder), 헤드(Head), 섹터(Sector) 구조를 기반으로 물리적인 주소를 지정하는 방식. 하드디스크 용량이         커짐에 따라 사용되지 못하고 LBA 방식을 사용하게 됨.

ex) CHS(21,3,20) -> 하드디스크의 3번째 헤드를 21번째 실린더, 20번째 섹터에 위치시킴

  ● LBA 방식

    ◇ 하드디스크 내부에 존재하는 모든 섹터들을 일려로 늘어뜨린 후 논리적인 번호를 지정하는 방식

  ● ZBA 방식

    ◇ 플래터의 트랙 길이가 내부보다 외부가 더 길다는 점을 이용하여 길이가 길수록 더 많은 섹터를 할당하는 방식. 트랙의 길이마다         섹터의 수가 다르기 때문에 데이터를 읽고 쓸 때 트랙에 섹터 수를 정확히 알고 있어야함.

※ CHS, LBA의 경우 트랙의 섹터수가 모두 동일함. 참조(http://forensic-proof.com/archives/355)

- 하드디스크 숨김 영역

  ● HPA(Host Protected Area)

    ◇ 데이터를 저장할 수 있는 영역이고 일반 사용자가 볼 수 없는 영역임. 하드디스크 끝에 위치. ATA-4 추가

    ◇ HPA 영역을 확인하는 ATA 컨트롤러 명령어 -> IDENTIFY DEVICE(접근), SET MAX ADDRESS(설정), READ NATIVE MAX ADDRESS(접근)

READ_NATIVE_MAX_ADDRESS - IDENTIFY_DEVICE > 0 이면 HPA 존재

    ◇ 확인도구 : BXDR, diskstat, DRIVEID, hpa

  ● DCO(Device Configuration Overlay)

    ◇ 데이터를 저장할 수 있는 영역이면서 일반 사용자가 볼 수 없는 영역임. ATA-6 추가

    ◇ DCO 영역을 확인하는 ATA 컨트롤러 명령어 -> DEVICE CONFIGURATION SET(설정), DEVICE CONFIGURATION IDENTIFY(접근), DEVICE CONFIGURATION RESTORE(제거)

DEVICE_CONFIGURATION_IDENTIFY : 하드디스크 전체 크기 불러오는 명령(HPA,DCO포함)

READ_NATIVE_MAX_ADDRESS : HPA가 있는 상태면 HPA 영역의 크기를 불러오는 명령(DCO 제외)

IDENTIFY_DEVICE : 하드디스크 크기를 불러오는 명령(HPA, DCO 제외)

DEVICE_CONFIGURATION_IDENTIFY = READ_NATIVE_MAX_ADDRESS = IDENTIFY_DEVICE 이면 숨김영역이 없다는 뜻!! 

    ◇ 확인도구 : Image MASSter Solo 2

  ● HPA, DCO 확인 도구

    ◇ The ATA Forensics Tool (TAFT) by Arne Vidstrom.

    ◇ EnCase for DOS by Guidance Software

    ◇ FTK (Forensic Toolkit) by AccessData

    ◇ HD Tune Pro

그림 1) HPA, DCO 구별

(http://forensic-proof.com/archives/284)

  ● OS, BIOS로부터 보이지 않는 HPA, DCO는 사용자에 의해 변경이 가능(Rootkit 설치 등...)

  ● HDD 증거 수집 시 ATA버전, HPA, DCO 지원 여부 고려가 중요

- 데이터 수집

  ● 컨트롤러의 직접 접근

    ◇ 소프트웨어로 하드디스크 컨트롤러를 통해 디스크 데이터에 접근하는 방법. 단 컨트롤러의 주소지정, 데이터 읽기&쓰기 명령어 등         세부사항을 모두 인지해야함.

  ● 컨트롤러의 BIOS 접근

    ◇ BIOS를 통해 디스크 데이터에 접근하는 방법. 섹터 주소&크기와 같은 데이터를 레지스터에 적재 후 인터럽트 명령어         0x13(INT13h) 실행

  ● 동적 수집

    ◇ 운영체제가 동작하는 상태에서 데이터를 수집하는 단계임. 시스템이 악성코드에 의해 피해를 받았을 경우 변조된 데이터를 추출할         수 있기 때문

  ● 정적 수집

    ◇ 이동장치로 부팅하여 분석 대상 시스템의 데이터를 수집함.