외부 보조저장장치를 PC에 연결하여 포렌식 목적으로 분석을 수행하거나 이미징을 할 때에는 증거의 무결성을 위해 쓰기방지장치가 반드시 있어야 한다. 내가 저장장치에 쓰기 행동을 하지 않는다고 하더라도, 시스템이 동작하는 도중 어떤 프로세스가 어떤 데이터를 저장장치에 쓸 수도 있기 때문이다. 하지만, 개인이 하드웨어 쓰기방지장치를 구매하기란 쉽지 않다. 그래서 이 글에서는 간단하게 윈도우(Windows 7) 운영체제에서 레지스트리를 이용 해 소프트웨어적인 쓰기 방지 기능을 구현하는 방법을 설명하고자 한다.
- HKLM\SYSTEM\CurrentControlSet\Control\
위 레지스트리 경로로 이동하여 "StorageDevicePolicies" key를 생성하고 하위에 "WriteProtect" 이름의 DWORD 형 value를 생성한다.
[그림 1 - 쓰기방지 설정]
해당 value는 0의 값을 가지면 쓰기방지 기능을 해제한다는 것을 의미하며 ,1의 값을 가지면 쓰기방지 기능을 설정한다는 것을 의미한다.
설정 한 후 외부 보조저장장치에 파일 등을 저장하려고 시도하게 되면 다음과 같은 대화창을 보게 되면서 저장이 되지 않는다. 물론 읽는 것은 가능하다.
[그림 2 - 쓰기방지 기능 확인]
p.s - 디지털 포렌식 전문가 2급 실기 때 증거 수집 사항을 보고서에 기술 할 때 해당 내용이 꼭 있어야 한다.
'[+] Forensic' 카테고리의 다른 글
GPS(Global Positioning System) Forensics (2) | 2014.01.22 |
---|---|
[For.MD] Get Windows Logon Password using Wdigest in Memory Dump EN Ver (0) | 2013.12.23 |
[For.MD] Windows Logon Password - Get Windows Logon Password using Wdigest in Memory Dump (0) | 2013.10.21 |
[For.MD] Torrent Forensics 문서 (4) | 2013.09.23 |