Digital Forensics/Pre Digital Forensic

디지털 기기와 저장 매체 및 시스템 Ⅱ

dodssockii 2016. 11. 15. 10:21

3장에서 자기 저장 매체(Magnetic Storage) 부분 중 하드디스크 드라이브에 대해 더 자세히 이야기하려 한다.


  • 하드 디스크 드라이브


[각주:1]

 : 컴퓨터의 주요 저장 매체, 자기장을 이용해 플래터(platter)라고 부르는 금속판 위에 데이터 기록

 플래터가 회전하면 헤드(head)에 의해 데이터가 기록되는데 플래터의 회전 속도는 현재 4,800 ~ 15,000 RPM을 유지하고 있음

 플래터는 양면에 데이터를 기록할 수 있는데 하드 디스크의 용량에 따라 양면 모두 사용하거나 여러 개의 플래터 사용

 하드 디스크 드라이브는 ATA(IDE), SATA, SCSI와 같이 다양한 인터페이스를 가지므로 디지털 증거 취득을 위한 디스크 이미징을 위해서는 다양한 인터페이스를 지원할 수 있어야 함


사실.. 아직 포렌식의 포자도 아니 컴퓨터의 컴자도 모르는 나는 모르는 말들이 너무 많았다. 그래서 이번 시간에는 나와 같은 어려움을 겪고 있는 사람들을 위해 준비 해봤다.


[각주:2]


- 용어 설명

플래터 : 하드 디스크에서 데이터가 저장되는 원판

RPM : 하드디스크의 플래터가 1분당 회전하는 속도


- 종류


용도/방식

병렬

직렬

일반

ATA(IDE)

SATA 

주로 서버 컴퓨터 

SCSI 

SAS


ⅰ. ATA (Advanced Technology Attachment)

 : 하드 디스크, CD-ROM 등의 저장 장치 표준 인터페이스

 IDE(Integrated Drive Electronics)라는 용어와 혼재되어 사용

[각주:3]

ㄱ. ATA-2, ATA-3 즉, EIDDE는 기존의 컨트롤러가 두 개의 장치만 연결할 수 있는 점을 보완한 것으로 하나의 IDE에서  Primary, Secondary라는 개념을 통해 더 많은 장치들을 연결할 수 있도록 설계 됨

ㄴ. Ultra ATA는 주 기억 장치와 보조 기억장치의 버스 통신 방식 DMA(Direct Memory Access) 방식을 더욱 빠른 속도로 통신할 수 있도록 개선한 Ultra DMA 방식 사용

ㄷ. 채널 : ATA에서 정보가 이동하는 통로, 두 개의 장치 연결할 수 있음

ATA는 4개의 채널을 지원하지만 여러 가지 문제로 인해 현재는 대부분 2개의 채널 사용

각각의 채널은 다시 2개의 장치 연결을 위해 MS(Master)/SL(Slave)라는 개념 사용

최근에는 점퍼 설정을 시스템이 자동으로 해주는 CS(Cable Select) 방식 지원


ㄹ. HPA(Host Protected Area or Hidden Protected Area)

 : ATA-4 표준에서 추가된 기능

 하드 디스크에 미리 예약된 영역, 일반 사용자가 임의로 수정하지 못하는 영역

 → 시스템 부팅이나 진단 유틸리티 저장

 → CD, DVD와 같은 별도의 매체 없이 시스템 복구

 → 랩톱 컴퓨터 보안 유틸리티 저장

 → 루트킷을 통한 악의적인 용도 및 데이터 은닉


ㅁ. DOC(Device Configuration Overlay)

 : ATA-6부터 추가된 기능

 초기 생산된 HDD의 크기를 균일하게 하거나 다양한 HDD로 동일한 PC 사양을 맞추기 위한 용도

⇒ HPA와 DOC 영역은 BIOS에 의해 확인되지 않기 때문에 증거를 은닉하기 위한 목적으로 사용될 수 있음

ⅱ. SATA (Serial ATA)

 : 병렬 전송 방식의 ATA를 직렬 전송 방식으로 변환한 드라이브 표준 인터페이스

SCSI (Small Computer System Interface)

ㄱ. SCSI :  병렬 버스를 사용하는 표준 인터페이스 형식, 주로 서버 컴퓨터에서 사용

 ATA에 비해 하나의 컨트롤러가 daisy chain을 사용해 최대 16개의 장치를 연결할 수 있으며, 각 장치는 서로 독립적으로 동작 가능

ㄴ. SAS(Serial Attached SCSI) : SATA처럼 병렬 버스를 사용하는 기존 방식을 직렬로 바꾼 차세대 표준 인터페이스

⇒ SCSI와 ATA 방식의 전송 속도 비교

인터페이스 

SCSI 

ATA 

SCSI-1 

Ultra320 SCSI 

SAS 300 

SAS 600 

차세대 SAS 

 PATA-133

SATA-300 (SATA Ⅱ) 

SATA-600 (SATA Ⅲ) 

전송 속도

5 MB/S 

320 MB/S

300 MB/S

600 MB/S

1000 MB/S

133 MB/S

300 MB/S 

600 MB/S 


ⅳ. 비밀번호가 설정된 하드 디스크

 : 하드 디스크에 비밀번호가 설정된 경우에는 적절한 비밀번호를 입력하지 않을 경우 디스크 자체에서 읽기 요청을 허용하지 않기 때문에 운영체제 부팅은 물론, 하드 디스크의 사본 생성 자체가 불가능 하게 됨

비밀번호는 하드 디스크의 펌웨어에 직접 설정되기 때문에 HDD를 연결하는 방식이나 시스템 종류에 상관없이 접근 제어가 이루어짐

따라서 하드 디스크를 수집할 때, 현장에서 즉시 사본을 생성하지 않는 경우에도 비밀번호 설정 여부를 파악하여야 하며, 설정되어 있다면 신문을 통해 비밀번호를 획득하거나 ‘PC 3000’과 같은 장비를 통하여 비밀번호를 우회하는 등의 조치를 취해야 함



  1. http://m.dbguide.net/knowledge.db?cmd=view&boardConfigUid=21&boardUid=130173 [본문으로]
  2. https://ko.wikipedia.org/wiki/%ED%95%98%EB%93%9C_%EB%94%94%EC%8A%A4%ED%81%AC_%ED%94%8C%EB%9E%98%ED%84%B0 [본문으로]
  3. https://ko.wikipedia.org/wiki/%EB%B3%91%EB%A0%AC_ATA [본문으로]