Page info
- Page type : Background knowledge
- Knowledge location : 1. First Response >> Disk imaging
- Other Reference : http://portable-forensics.com/document.html
- PFP & Manual downLoad : http://portable-forensics.com/download.html
디스크 이미징(Disk imaging), 이미지(Image) 파일
디스크 이미징(Disk imaging)이란 디지털 포렌식 조사를 위해 조사 대상 저장매체의 사본(Image)을 생성하는 것을 의미한다. 그리고 이렇게 생성된 사본을 이미지(Image)파일이라 한다.
기본적으로, 디스크 사본 생성 기술은 적법절차에 의한 디지털 포렌식 분석이 가능하도록 하기 위하여 개발 되었다고 보아도 무방하다.
원본의 훼본을 막고, 반복적이고 안정적인 분석을 가능하게 하는 최선의 수단은 원본과 동일한 사본을 생성하여 분석하는 것이기 때문이다.
전체 디지털 포렌식 분석 절차에서 디스크 이미징은 초기 대응 과정에 속한다. 초기 대응은 크게 활성 시스템 포렌식과 디스크 사본 생성 과정으로 나눌 수 있으며, 활성 시스템 포렌식을 마친 후에 사본 생성이 가능한 환경이거나, 분석을 위해 디스크를 전달받은 경우라면 반드시 디스크 이미징(사본 생성)을 가장 먼저 수행해야 한다.
활성 시스템과 비활성 시스템에서의 이미징
사고 현장을 접하다보면 간혹, 금융권의 서비스 시스템과 같이 동접자가 많은 운영 시스템처럼 시스템을 종료할 수 없는 상황을 마주하기도 한다.
이와 같은 경우에 조사가 필요하다면, 시스템 운용을 방해하지 않고 디스크 내용을 복사해야 한다. 물론, 사본을 생성하는 과정에서 일어나는 디스크의 변화에 대해서 감내할 수 있는 경우여야만 할 것이다.
이와 같은 경우, 어쩔수 없이 시스템에 설치된 운영체제에서 소프트웨어를 구동하여 이용하여 저장장치의 내용을 네트워크나 외장장치로 전달하는 방법을 통해 사본을 확보해야 한다.
(http://portable-forensics.com/document.html 의 Disk imaging 하위에 연동되는 페이지를 확인하자.)
쓰기 방지
기본적으로 디스크 이미징을 수행할 때에는 원본을 반드시 "읽기 전용"으로 연결해야 한다. 아무리 이미징 장비나 소프트웨어에서 읽기 행위만을 수행하도록 지정한다고 하더라도, 펌웨어나 운영체제의 동작 과정에서 언제, 어떻게 원본 디스크에 영향을 주는 행위가 발생할 지는 예측할 수 없기 때문이다.
디스크를 읽기 전용(쓰기 방지)으로 하여 이미징을 하기 위해서는 개략적으로 아래와 같은 방법들이 있다.
- 전용 이미징 장비 사용 : 전용 이미징 장비에는 조사 대상 저장장치와 사본을 저장할 저장장치를 연결할 수 있는 포트와 각 저장장치를 인지하여 이미징을 수행할 수 있는 소프트웨어가 내장되어 있다. 이 때, 조사 대상을 연결하는 포트에는 내부적으로 쓰기 방지를 수행할 수 있는 하드웨어가 장착되어 있어, 정확한 위치에 연결만 한다면 안정적으로 디스크 이미징을 수행할 수 있는 것이다.
- 쓰기 방지 소프트웨어, 운영체제의 설정 사용 : 주로 API를 후킹하는 방식으로 이루어진 쓰기 방지 소프트웨어를 사용하거나 운영체제에서 외장장치나 추가 디스크에 대한 읽기 권한만을 혀용하는 방법 등이 있지만, 구현상 오류나 고려되지 않은 운영체제 행위를 생각하면 권장할 만한 방법은 아니다. (물론, 하드웨어 장비가 없는 경우에 차선책으로 이용해야 하므로, 방법은 알아둘 필요가 있다.)
- 쓰기 방지 하드웨어 사용 : 전용 이미징 장비에서 쓰기 방지에 관한 부분만을 고려한 하드웨어 제품들이 있다. 주로, 조사관의 노트북이나 컴퓨터에서 직접 사본 생성을 수행할 때 사용되며, 이와 같은 방법이 가능하다면, 운영체제의 설정이나 쓰기 방지 소프트웨어의 사용은 고려할 필요가 없다.
데이터의 무결성을 크게 중요시 하지 않은 침해사고 분석에서 조차도 사본 생성과정에서는 어떠한 시스템 행위(System Operation)도 끼어들지 않게 하기 위해서 쓰기방지를 실행하고 있느 것이 현실이므로 예비 조사자들은 꼭 적절한 쓰기방지 방법을 이용하여 디스크 사본을 생성하는 방법을 숙지하기 바란다.
Raw 이미지와 전문 증거 압축 포맷(EWF, Expert Witness Compression Format)
디스크 이미징에 관하여 한가지 더 짚고 넘어가야할 부분은 전문증거 압축 포맷에 관한 내용이다. 디스크 사본의 형식은 크게 Raw 이미지와 전문 증거 압축 포맷으로 나눌 수 있다.
우선, Raw 이미지는 디지털 미디어 전체의 내용을 bit 단위로 완전히 동일하게 복사한 결과를 의미한다. 이렇게 생성된 이미지 파일은 원본 디스크와 완전히 동일한 형태로 존재하기 때문에, 상대적으로 직관적이며 유연한 분석이 가능하다는 장점이 있다.
하지만, 실제 포렌식 조사를 위한 사본 생성에서는 전문 증거 압축 포맷을 꼭 고려해야 하는데, 전문 증거 압축 포맷이란, 디지털 포렌식 조사를 목적으로 디지털 미디어의 내용을 저장하기 위한 목적으로 설계된 파일 포맷을 의미한다.
사본 생성을 하다보면, 보통의 경우 조사 대상 저장장치의 용량이 크고, 사본 생성의 시간이 오래걸리기 때문에 사본 생성과정에서 오류가 발생할 가능성이 다소 크고, 하드웨어적인 결함으로 특정 영역(Sector, Cluster)등이 읽히지 않을 수 있다.
이와 같은 결함은 결과적으로 사본 전체에 대한 신뢰도 저하로 이어질 수 있는데, 전문 증거 압축 포맷은 Raw 이미지와 다르게 오류 검증, 변조 방지 등의 알고리즘이 포함되어 있기에 이러한 문제를 어느정도 극복할 수 있는 것이다.
또한 Sparse, Unallocated 영역의 빈공간(0으로 채워진) 등 대해서 효율적인 압축을 제공하는 포맷도 존재하기에 사본 저장 공간의 효율을 위해서도 전문 증거 압축 포맷을 이용하는 경우가 더러 있다. (디스크 이미징은 압축 여부 등에 따라 시간 소요의 차이가 발생 하기에, 상황에 맞는 적절한 수집 방법을 이용하여 이미지를 획득하는 것이 옳다.)
다만, e01, AFF 등과 같은 전문 증거 압축 포맷을 사용하여 사본을 생성하였다면, 당연한 이야기지만 해당 포맷을 해석할 수 있는 도구가 필요하다는 점도 미리 인지하고 활용하자.
우선, Raw 이미지는 디지털 미디어 전체의 내용을 bit 단위로 완전히 동일하게 복사한 결과를 의미한다. 이렇게 생성된 이미지 파일은 원본 디스크와 완전히 동일한 형태로 존재하기 때문에, 상대적으로 직관적이며 유연한 분석이 가능하다는 장점이 있다.
하지만, 실제 포렌식 조사를 위한 사본 생성에서는 전문 증거 압축 포맷을 꼭 고려해야 하는데, 전문 증거 압축 포맷이란, 디지털 포렌식 조사를 목적으로 디지털 미디어의 내용을 저장하기 위한 목적으로 설계된 파일 포맷을 의미한다.
사본 생성을 하다보면, 보통의 경우 조사 대상 저장장치의 용량이 크고, 사본 생성의 시간이 오래걸리기 때문에 사본 생성과정에서 오류가 발생할 가능성이 다소 크고, 하드웨어적인 결함으로 특정 영역(Sector, Cluster)등이 읽히지 않을 수 있다.
이와 같은 결함은 결과적으로 사본 전체에 대한 신뢰도 저하로 이어질 수 있는데, 전문 증거 압축 포맷은 Raw 이미지와 다르게 오류 검증, 변조 방지 등의 알고리즘이 포함되어 있기에 이러한 문제를 어느정도 극복할 수 있는 것이다.
또한 Sparse, Unallocated 영역의 빈공간(0으로 채워진) 등 대해서 효율적인 압축을 제공하는 포맷도 존재하기에 사본 저장 공간의 효율을 위해서도 전문 증거 압축 포맷을 이용하는 경우가 더러 있다. (디스크 이미징은 압축 여부 등에 따라 시간 소요의 차이가 발생 하기에, 상황에 맞는 적절한 수집 방법을 이용하여 이미지를 획득하는 것이 옳다.)
댓글 없음:
댓글 쓰기
질문이나 조언은 언제든 환영입니다.
악의적 댓글이나 무조건적인 비방은 삼가주세요.