-
자기 하드 드라이브의 데이터 저장 방식Computer/DIGITAL FORENSICS 2014. 7. 19. 17:49
자기 하드 드라이브의 데이터 저장 방식
컴퓨터는 섹터(sector)라고 불리는 정해진 공간에 데이터를 저장한다.
http://terms.naver.com/entry.nhn?docId=758470&cid=42341&categoryId=42341
섹터는 디스크상의 최소의 물리적 저장 공간 단위로 일정한 크기로 되어 있다.
각 섹터는 보통 512바이트의 크기로 되어있으며 초과하여 저장할 수는 없다.
섹터가 최소한의 저장 단위이지만 컴퓨터 운영체제는 데이터를 클러스터(cluster)로만 저장한다.
만약 범인이 범행계획을 컴퓨터 하드에 저장한다고 가정하자.
파일이름은 "evidence.doc"라고 이름을 붙이고, 파일의 크기는 우연하게도 1024바이트라고 가정한다. 그러면 컴퓨터는 한 섹터에 512바이트이니 2개의 서로 다른 섹터에 파일이 저장된다.
범인은 범행계획을 들키지 않기 위해 삭제해 휴지통을 비우면서 "evidence.doc"에 있는 모든 것이 사라진 줄 알 것이다. 그리고 나서 새로운 파일을 하드에 저장한다. "new.doc"라고 이름을 붙이고, 이 파일의 크기는 780바이트이다. 섹터의 크기가 512이므로 또 2개의 섹터에 파일이 저장된다. 그런데 정말 신기하게도 "evidence.doc"가 저장됬던 자리에 저장이 되고, "evidence.doc"의 첫 780바이트 부분이 "new.doc"에 의해 덮여써진다. 그러면 이 남은 244바이트를 slack공간이라 부른다.
슬랙 공간에서 기존 파일의 조각이 복구가 가능하고, 용의자를 식별하는 데 중요한 단서가 될 수 있다. 슬랙 공간은 사용자나 운영체제가 접근할 수 없기 때문에 이 증거는 용의자가 알 수 없다.
하드 드라이브 작동 원리
http://myharddrivedied.com/presentations-resources
가상 메모리
컴퓨터에서 프로그램을 많이 실행시키게 되면 컴퓨터가 갑자기 느려지다가 하드 드라이브가 움직이는 소리가 난다. 그 시점에 컴퓨터가 가상 메모리를 사용하기 시작한다는 것이다.
가상메모리를 페이지 파일(page file) 또는 스웝 공간(swap space)이라고 부른다.
페이지 파일은 컴퓨터의 메인 메모리를 모두 사용했을 때에만 사용하게 된다. 메인 메모리는 RAM이라고 불린다. Random Access Memory의 약자인데 현재 컴퓨터에서 작업 중인 모든 것을 저장한다. 모든 데이터와 프로그램은 반드시 RAM에서 CPU로 전달되어야 한다.
컴퓨터는 데이터를 페이지 파일로 옮겨서 RAM의 공간을 확보한다.
드라이브에 어디에도 없는 파일이나 조각이 페이지 파일에 저장되어 있을 수도 있다.
파일을 성공적으로 삭제하고 덮어 쓰는 용의자도 페이지 파일을 알지 못하여 증거 데이터가 복원돼 덜미를 잡힐 수가 있다.
페이지 파일 사용의 다양한 방면
- 덮어써지기 전까지 데이터는 하드에 남아 있는다.
- 페이지 파일은 지속적으로 사용되는 것이 아니기 때문에 일부 데이터는 오랫동안 저장되어 있을 수도 있다.
- 페이지 파일에는 특정 시점에 RAM에 저장되어 있던 데이터가 저장된다. 즉 그 어떤 데이터도 저장될 수 있다는 의미다. 암호화되지 않은 비밀번호가 페이지 파일에 남아있을 수도 있다.
출처
- 이제 시작이야 디지털 포렌식
- 네이버 지식 백과 < http://terms.naver.com/ >
'Computer > DIGITAL FORENSICS' 카테고리의 다른 글
디지털 증거를 수집하고 분석하는 과학수사관, 디지털포렌식수사관 (0) 2014.07.20 품질보증 (0) 2014.07.20 파일 시스템 (0) 2014.07.19 데이터 종류 (0) 2014.07.19 컴퓨터 환경 (0) 2014.07.19
