디지털 포렌식 전문가 2급 필기 (디지털 저장매체의 종류 및 특징)

RAID (Redundant Array of Inexpensive/Independent Disk)

저장장치를 여러 개 묶어 고용량/고성능 저장 장치 한 개 같은 효과를 얻기 위해 개발한 기법

- 데이터를 분할해서 복수의 자기 디스크 장치에 대해 병렬로 데이터를 읽는 장치 또는 읽는 방식
- 여러 디스크를 병렬로 연결하여 사용하는 기법으로서 접근(access) 속도와 데이터 보존 신뢰가 우수할수록
  높은 등급을 받는 단계로 구분된다
- 다수의 디스크 드라이브를 묶어 빠르고 안정적인 하나의 저장 장치처럼 사용하는 기술

RAID는 여러 개의 독립된 디스크가 일부 중복된 데이터를 나눠서 저장하고 성능을 향샹시키는 기술을 의미한다
RAID는 데이터를 나누는 다양한 방법이 존재하는데, 이 방법을 레벨이라 한다
RAID방식은 중첩레벨에 따라 신뢰성과 성능 향상을 보여주며, 이때 레벨에서 그룹화된 디스크들은 하나의 볼륨처럼 사용되므로 RAID 볼륨(volume)이라 한다

redundant array of inexpensive disk 의 약어

RAID 1 (미러링) 은 단순히 모든 데이터를 반사 디스크에 복사하고 비교해서 오류를 검사하고 수정할 수 있으나,
전체 디스크 용량에 비해 사용 가능한 용량은 절반이다.

RAID 4 는 여분의 Parity 전용 디스크를 사용하여 신뢰성을 높인 방법으로 전체 디스크가 N개로 구성되면
실제 사용 가능한 디스크 N-1개가 된다. 하지만 데이터 변화가 빈번한 경우 parity 디스크에 큰 부하가 걸려
병목현상에 의해 성능이 저하될 수 있다.

RAID 0 은 최소 2개 이상의 디스크를 사용하여 2개 이상의 볼륨을 구성한 구조로 오류 검출 기능을 제공하지 않기
때문에 디스크 하나만 고장나도 데이터를 복구할 수 없다.

RAID볼륨의 이미지를 만들기 전에 각 디스크의 이미지를 먼저 만드는 것이 더 유용할 수 있다
개별적인 디스크 이미지에는 최종 RAID볼륨에는 없는 숨겨진 데이터가 있을 수 있다
RAID볼륨 디스크를 수집할 때, 원본 디스크를 수정하지 않도록 주의해야 하며, 수정 방지를 위해 쓰기방지 장치 사용

 

RAID 0

- 스트라이핑, 데이터 중복은 없음.

- 최고의 성능, 내결함성은 없음

- 데이터를 사용할 때 I/O를 디스크 수 만큼 분할하여 쓰기 때문에 I/O 속도가 향상 된다.

- 스트라이프를 구성할 때 기존 데이터는 모두 삭제 되어야 함.

- 여러 개의 하드디스크 드라이브를 묶어 하나의 논리적 디스크로 작동하게 하는 복수배열 독립디스크(RAID)

구성 중에서 1개의 하드디스크가 손상되었을 때 자료의 안전을 보장할 수 없음

 

최소 디스크 개수 : 2

용량 : 디스쿠 수 * 디스크 용량

 

RAID 1

- 디스크 미러링, 데이터 저장소를 복제하는 두 개 이상의 드라이브로 구성

- 스트라이프 구성이 아님

- 두 디스크를 동시에 읽을 수 있기 때문에 읽기 성능이 향상, 쓰기 성능은 단일 디스크에 쓰는 것과 같음

- 볼륨 내 디스크 중 하나의 디스크만 정상이어도 데이터는 보존되어 운영 가능 (가용성이 높고, 복원이 간단)

- 용량이 두 배가 필요하며 쓰기 속도가 조금 느려진다

 

최소 디스크 개수 : 2

용량 : (디스크 수 / 2) * 디스크 용량

 

 

RAID 2

- 스트라이핑 구성, 일부 디스크에는 오류 검사 및 수정을 위해 ECC(Error Correction Code) 정보가 저장

- RAID 3~4에 비해 이점이 없음 현재는 더 이상 사용되지 않는 구성

- ECC를 위한 드라이브가 손상될 경우 문제가 발생

 

최소 디스크 개수 : 3

용량 : ( 디스크 수 - 1 ) * 디스크 용량

 

 

 

RAID 3

 

- 스트라이핑 구성, 하나의 드라이브를 패리티 정보를 저장하는데 사용

- 내장된 ECC 정보는 오류를 감지하는데 사용

- 데이터 복구는 다른 드라이브에 기록된 정보의 XOR을 계산하여 수행

 

최소 디스크 개수 : 3

용량 : ( 디스크 수 - 1 ) * 디스크 용량

 

 

RAID 4

- RAID 3 구성과 비슷, 스트라이프 사용(단일 드라이브에서 데이터를 읽을 수 있음)

- 데이터를 블록 단위로 나눠 기록

 

최소 디스크 개수 : 3

용량 : ( 디스크 수 - 1 ) * 디스크 용량

 

 

RAID 5

 

- 패리티가 있는 스트라이핑 구성

- 패리티 정보는 각 디스크에 스트라이핑되므로 하나의 드라이브가 고장 나더라도 다른 어레이로 대체 작동할 수 있음

- 가장 자주 볼 수 있는 유형 중 하나이며 최소한 3개의 디스크를 포함한다

- 전용 패리티 디스크가 없으며, 모든 디스크들은 데이터와 패리티 값을 포함한다

 

최소 디스크 개수 : 3

용량 : ( 디스크 수 - 1 ) * 디스크 용량

 

디지털 포렌식 조사관이 가장 효율적으로 활용할 수 있을 것으로 예상되는 USB 포트 색상은?

= 검정색

 

플래시메모리

디지털텔레비전, 디지털캠코더, 휴대전화, 디지털카메라, 개인휴대단말기(PDA), 게임기, MP3플레이어 등에 널리 이용

블록 내에서 특정 단위로 읽고 쓸 수 있지만, 블록 단위로 지워야 함
전기적으로 데이터를 지우고 다시 기록할 수 있는 비휘발성 컴퓨터 기억장치
덮어쓰기를 할 수 없다. 데이터를 변경하려면 대응하는 블록을 미리 지워야 한다.
약 10만 정도 제한된 회수까지 기록이나 지우기를 수행할 수 있지만 마모가 진행한다.
플로팅 게이트 트랜지스터로 구성된 배열 안에 정보를 저장한다.

충격에 강하고 저전력으로 동작이 가능하다

(USB 메모리 칩셋)
MLC(Multi Level Cell) 방식은 각 셀에 2비트를 사용하여 기억하는 방식이기 때문에 같은 크기의 셀을 사용할 때
SLC(Single Level Cell) 방식보다 많은 데이터를 저장할 수 있다
NAND 플래시는 NOR에 비해 다소 속도가 느리지만 대용량으로 구성하기 적합하다

종류에 따른 속도 빠르기 순 (읽기/쓰기의 횟수가 많은 순)
SLC > MLC > TLC

 

RAM (Random Access Memory)

전원이 공급되지 않으면 데이터가 사라지는 휘발성 메모리다
DRAM은 전원이 차단되지 않더라도 저장된 자료가 자연히 소멸되는 단점이 있다
SRAM은 전원이 공급되는 한 기억된 데이터가 지워지지 않는다

반도체 기억 장치의 하나로 내용을 읽기만 가능하다 ( X )

 

 

SSD

플래시 메모리의 장점을 활용하여 만든 대용량 플래시 메모리이다
하드디스크와 달리 반도체 메모리를 내장하고 있다
작동 소음이 없으며 전력소모가 적다
SSD 제품에 따라서 저장매체로 일반 램(RAM)을 탑재한 모델과 플래시메모리(flash memory)를 탑재한 모델 있음
자기장을 이용하는 HDD와 달리 NAND 플래시 반도체를 이용한다
데이터 덮어쓰기가 불가능하여 쓰기 속도가 저하되는 특징이 있다

[ SSD TRIM ]
- 삭제된 데이터의 공간을 미리 비워두는 기능
- 특정 명령어를 통해 자동TRIM 기능을 활성 및 비활성 할 수 있다
- TRIM기능을 통해 삭제된 파일은 쉽게 복구할 수 없다
- SSD의 파일쓰기 성능 저하를 막기 위해 등장하였다

[ 버퍼(buffer)메모리 ]
인터페이스와 메모리 사이의 데이터 교환 작업을 제어하는 컨트롤러(controller) 및 외부 장치와 SSD간의
처리 속도 차이를 줄여줌

 

하드디스크 드라이브

가장 널리 쓰이는 저장매체로 비휘발성 저장장치이다
SSD에 비해 진동, 충격, 자성 등의 외부 환경에 취약하다
플래터는 양면에 데이터를 모두 기록할 수 있다


[ SATA 3의 규격 ] 
- 6 Gbits/s

[ 하드 디스크 드라이브의 인터페이스 규격]
- ATA
- EIDE
- SATA

HDLC ( X )

 

eSATA

외장하드라고 생각하면 편함

내장형 인터페이스인 SATA를 외장형으로 만든 것
컴퓨터 전원이 켜진 상태에서도 외장 하드를 탈착 / 교체할 수 있는 기능을 지원한다
인터페이스 자체적으로 전원 공급이 되지 않는 단점이 있다
SATA와 eSATA 인터페이스는 규격이 동일하지 않다

 

NAND 플래시

NOR보다는 속도가 느리지만 대용량으로 구성하기 적합하며 SD메모리 카드나 메모리 스틱등에 사용
SSD나 디지털 카메라, MP3 장치에도 주로 활용된다
블록 단위로 구성되어있다
블록 단위로 지운다
페이지 단위로 프로그램한다
블록은 여러개의 페이지로 구성되어있다
플래시 메모리의 장점을 활용하여 만든 대용량 플래시 메모리이다
자기장을 이용하는 HDD와 달리 NAND 플래시 반도체를 이용한다

페이지 단위로 읽기/쓰기 동작이 가능하지만 해당 페이지를 덮어 쓰거나 지우려면 모든 블록을 지워야 한다
메모리카드 중 SD카드나 메모리 스틱 등에서 사용되고 SSD나 디지털 카메라, MP3등에서도 주로 사용된다

 

HPA (Host Protected Area)                                

데이터를 저장할 수 있는 디스크의 특별한 영역으로 ATA-4에서 추가됨
사용자가 하드디스크 내용을 포맷하거나 삭제했을 때 지워지지 않는 데이터를 저장한다
디스크 끝에 위치하며 하드디스크 재설정에 의해서만 접근할 수 있음

ATA-4에서 추가된 기능으로, HDD에 의해 미리 예약된 영역으로 BIOS를 통한 접근이 어려운 영역

ATA-4 표준에서 추가된 기능으로 시스템 부팅이나 진단 유틸리티를 저장하거나 시스템 복구를 위해
사용되기도 하며, BIOS를 통해 접근이 불가능 하여 루트킷에 의한 악의적인 용도를 사용되거나 주요 파일을
숨기는 목적으로 사용될 수 있다.

하드디스크 조사시 또는 디스크 이미징 작업시 반드시 확인해야 하는 영역

HPA 영역과 DCO 영역은 동일한 하드디스크 드라이브 내에 존재할 수 있다
HPA와 DCO는 증거를 은닉할 목적으로 사용될 수 있음
하드디스크 드라이브 제조사의 해당 모델 사양명세서에 기재된 용량과 운영체제에서 확인되는 용량이 틀리다면
HPA와 DCO 존재를 의심할 수 있다

 

DCO (Device Configuration Overlay)

ATA-6부터 추가된 기능, 하드디스크의 기능을 제한시킨다
DCO는 자신의 기능을 IDENTIFY_DEVICE 명령어 결과값에 추가하지 않아 존재하지 않는 것처럼 보이게 함
이것을 사용하여 여러 사이즈로 제작된 HDD를 같은 섹터 수를 가지는 고정된 크기의 HDD로 구성이 가능
BIOS를 통해 확인되지 않으며, 특별한 ATA명령을 통해 접근이 가능하다

여러 사이즈로 제조한 HDD를 같은 섹터 개수를 가지고 고정된 크기의 HDD를 구성이 가능하며, BIOS를 통하여
확인되지 않아서 증거 은닉의 목적으로 사용될 수 있는 영역

 

BIOS (Basic Input Output System)

운영체제와 하드웨어의 통신을 위한 중간매개체로 사용된다
BIOS에 의해 저장된 시스템시간은 디지털포렌식 관점에서 매우 중요하다
HDD의 종류, 용량 및 부팅순서를 설정할 수 있다

 

IEEE1394

미국의 Apple사가 제창한 PC 및 디지털 오디오, 디지털 비디오용 시리얼 버스 인터페이스 표준 규격으로
플러그 앤 플레이(Plug and play)및 핫 스와핑(Hot swapping)기능을 제공한다

 

 

USB

최근 컴퓨터를 비롯한 PDA, 임베디드 장비와 같은 다양한 디지털 기기의 주변 장치를 위해 사용
하나의 주 컨트롤러는 허브를 통해 127개까지 확장하여 사용할 수 있음
핫플러스 기능을 지원하는 컴퓨터 표준 인터페이스 형식

USB 1.0 (Low Speed) : 1.536 Mbit/s (192 KB/s)
USB 1.1 (Full Speed) : 12 Mbit/s (1.5 MB/s)
USB 2.0 (Hi-Speed0 : 480 Mbit/s (60 MB/s)
USB 3.0 (Super Speed) : 5 Gbit/s (625 MB/s)

+5V 전원기능 : 1번
DATA- : 2번
DATA+ : 3번

USB 인터페이스 도식도

 

 

듀얼 레이어를 사용하면 50GB의 용량을 갖는 것
= BD-R

 

플러그앤 플레이 (Plug & Play)

USB는 PC의 분해와 복잡한 선 연결 등의 작업이 필요 없이 주변기기(USB 포트 지원 가능한 제품)를 그냥
USB 포트에 꽂기만 하면 바로 사용할 수 있다. 이는 USB가 별도의 설정을 하지 않아도 연결하면
바로 사용할 수 있는 ( 플러그 앤 플레이 ) 와 PC 사용 중에도 바로 연결하여 리부팅 없이 사용할 수 있는
'핫플러깅'을 지원하기 때문이다

 

광자기 디스크

저장 매체인 ( 광자기 디스크 ) 는 레이저를 이용해 데이터를 쓰고 지우므로 자성에 의해 데이터가 지워질 우려가
없어 보관성이 뛰어나다. 주로 전문가를 위한 고가의 매체로 사용되고 있으며, 종류는 130mm와 90mm으로
나뉘고, 용량은 650MB부터 9.2GB까지 다양하다

 

SCSI

주로 서버 시스템에 많이 사용되고 하나의 컨트롤러에 최대 16개의 장치를 연결할 수 있으며 
각 장치는 서로 독립적으로 동작이 가능한 컴퓨터 표준 인터페이스 형식

 

블로그 내 모든 글은 자료를 참고한 출처를 표시합니다. 
무단 복사 후 상업적 용도, 공식 용도로 사용하는 것에는 제한이 있을 수 있으니 주의하시길 바랍니다.

https://zetastring.tistory.com/121 / RAID 구조 종류(RAID 0부터 10까지)와 구성 방식 자세한 설명
https://ko.wikipedia.org/wiki/USB / 위키백과 , USB (사진사용)