일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- #크랙미
- #abex
- #심플즈 크랙미
- #크랙미3번
- java
- GraphQL
- #크랙미4번
- #크랙미2번
- Spring
- 리버싱
- leetcode
- java8
- #고클린
- #보안뉴스
- #크랙미 5번
- #보안이슈
- springframework
- #abex크랙미4번
- #리버싱
- #크랙미 9번
- Easy
- #파밍
- #심플즈
- #abex크랙미
- #크랙미 10번
- Today
- Total
Halo World
저장매체(2) 본문
| 플래시 메모리
- 전기적으로 데이터를 지우고 재기록이 가능
- 비휘발성 기억 장치
- 수정이 가능하다는 점에서 ROM과 다음
- 데이터를 고쳐 쓰기 전에 소거 동작이 필요하고, 데이터가 지워지지 않는다는 점에서 ROM과 RAM의 중간 성격을 띔
- 충격에 강하고 저전력으로 동작이 가능
- 녹음기, MP3, 디지털 카메라, 휴대폰, 스캐너 USB 플래시 메모리 등에 널리 사용
- 플래시 메모리의 종류
1) NOR 플래시
> 속도는 빠르지만 대용량으로 구성하기에는 부적합
> 휴대폰이라 셋탑박스 등에 주로 쓰임
2) NAND 플래시
> NOR 보다는 느리지만 대용량으로 구성하기에 적합
> SD 카드나 메모리 스틱, SSD, 디지털 카메라, MP3 등에 주로 사용
3) 플래시 메모리의 저장방식
> SLC 방식 (Single Level Cell)은 각 셀이 1비트(0,1)를 사용
> MLC 방식 (Multi Level Cell)은 각 셀에 2비트(00,01,10,11)를 사용하여 기억하는 방식이기 때문에 같은 크기의 셀을 사용한다고 했을 때 SLC 방식에 비해 MLC 방식이 더 많은 양의 데이터를 저장할 수 있음
- 포렌식 관점에서 플래시 메모리
> 플래시 메모리는 크기가 매우 작아서 휴대성이 좋아 범죄자가 증거물을 쉽게 은닉할 수 있음
> 압수 수색 시 USB 메모리나 소형 메모리 카드를 숨길만한 장소까지 주의를 기울여 수색해야 하며, 수사 대상 시스템에서 메모리 카드 사용 흔적이 없는지 파악해야 함
> 하드 디스크와 같은 저장 매체와 마찬가지로 메모리 카드에 있는 데이터를 수집할 때에도 반드시 쓰기 방지 장치를 통해 데이터 무결성을 유지해야 함
| SSD (Solid State Drive)
- 플래쉬 메모리의 장점을 활용하며 하드 디스크 드라이브 (HDD)와 동일한 형태로 개발된 대용량 플래시 메모리
- HDD와 동일한 연결 인터페이스를 사용하지만, 자기장을 이용하는 HDD와 달리 NAND 플래시 반도체를 이용하여 정보를 저장
- 임의 접근을 하여 탐색시간 없이 고속으로 데이터를 입출력 가능
- HDD에 비해 외부의 충격으로 데이터가 손상될 가능성이 적음
- NAND 플래시를 사용하기 때문에 읽기, 쓰기, 접근 시간이 기존 HDD에 비해 매우 빠르고 소비 전력, 소음, 발열이 낮음
| 플로피 디스크
- 자기 디스크 매체로 널리 알려짐
- 플로피(Floppy)라는 말은 디스켓 안에 들어가는 마그네틱 판이 딱딱하지 않고 쉽게 휘어지기 때문에 붙여진 말
- USB 메모리와 광학 매체의 등장으로 대부분 시장에서 사장됨
| 하드 디스크 드라이브 (Hard Disk Drive)
- 현재 컴퓨터에서 가장 널리 쓰임
- 중요한 역할을 하는 비휘발성 저장장치
- 하드디스크 인터페이스
1) ATA 인터페이스
> 하드 디스크 등 저장장치의 표준 인터페이스
>기존 병렬 방식에서 직렬 방식으로 발전
2) EIDE 인터페이스
> 기존의 컨트롤러가 두 개의 장치만 연결할 수 있는 점을 보완
3) SATA 인터페이스
> 병렬 전송 방식의 ATA를 직렬 전송 방식으로 변환한 드라이브 표준 인터페이스
> SATA 방식은 기존 ATA가 4개만 연결 가능했던 것에 반해 컨트롤러에 따라 5~8개까지 가능
> ATA에 비해 속도가 빠름
4) SCSI
> 주로 서버 시스템에 많이 사용
> ATA에 비해 하나의 컨트롤러가 최대 16개의 장치가 연결가능하다는 점
> 각 장치는 서로 독립적으로 동작이 가능
- HPA (Host Protected Area)
> ATA 표준에서 추가된 기능으로 해당 영역은 HDD에 의해 미리 예약된 영역으로 BIOS를 통해 접근이 불가능
> OS에서는 보이지 않는 영역으로 일반 사용자에 의해 수정되지 않는 HDD의 영역
> HPA를 사용하는 경우
- 시스템 부팅이나 진단 유틸리티 저장
- 노트북 보안 유틸리티 저장
- 루트킷을 통한 악의적인 용도 및 데이터 은닉
- DCO (Device Configuration Overlay)
> ATA-6 부터 추가된 기능으로 이 기능을 사용하여 60GB, 1TB 등 여러 사이즈로 제조한 HDD를 같은 섹터 개수를 가지는 고정된 크기의 HDD로 구성 가능
> DCO도 BIOS를 통해 확인되지 않으며, HDD 제조사에 따라 정의된 특별한 ATA 명령을 통해 접근이 가능
- 두 영역 모두 동일한 HDD 내에 존재할 수 있으며, 동일한 HDD에 HPA와 DCO를 동시에 구성하기 위해서는 먼저 DEVICE CONFIGURATION SET 명령을 통해 DCO를 설정한 후 SET MAX ADDRESS 명령을 통해 HPA를 구성해야 함
- 디지털 포렌식 관점에서 HPA, DCO
> 두 영역 모두 BIOS에서 확인되지 않기 때문에 증거를 은닉할 목적으로 사용될 수 있음
> 하드디스크를 조사할 때는 HPA와 DCO 영역이 있는지 확인해야 하며, 디스크 이미징의 경우 OS 상에서 BIOS를 통해 수집할 경우 HPA와 DCO 영역이 제외된 상태로 수집될 수 있음
> 따라서 디스크 이미징 도구에서는 HPA와 DCO 영역을 고려하여, 해당 HDD의 모델이 가지는 정해진 용량을 확인해야 함
'보안 > DIGITAL FORENSIC' 카테고리의 다른 글
디지털 증거의 증거 능력 (0) | 2017.06.30 |
---|---|
디지털 증거란? (0) | 2017.06.30 |
저장매체(1) (0) | 2017.06.29 |
데이터의 물리적 단위와 논리적 단위 (0) | 2017.06.28 |
디지털 증거의 특징 (0) | 2017.06.28 |