외부 보조저장장치를 PC에 연결하여 포렌식 목적으로 분석을 수행하거나 이미징을 할 때에는 증거의 무결성을 위해 쓰기방지장치가 반드시 있어야 한다. 내가 저장장치에 쓰기 행동을 하지 않는다고 하더라도, 시스템이 동작하는 도중 어떤 프로세스가 어떤 데이터를 저장장치에 쓸 수도 있기 때문이다. 하지만, 개인이 하드웨어 쓰기방지장치를 구매하기란 쉽지 않다. 그래서 이 글에서는 간단하게 윈도우(Windows 7) 운영체제에서 레지스트리를 이용 해 소프트웨어적인 쓰기 방지 기능을 구현하는 방법을 설명하고자 한다.


 - HKLM\SYSTEM\CurrentControlSet\Control\


위 레지스트리 경로로 이동하여 "StorageDevicePolicies" key를 생성하고 하위에 "WriteProtect" 이름의 DWORD 형 value를 생성한다.


[그림 1 - 쓰기방지 설정]


해당 value는 0의 값을 가지면 쓰기방지 기능을 해제한다는 것을 의미하며 ,1의 값을 가지면 쓰기방지 기능을 설정한다는 것을 의미한다.


설정 한 후 외부 보조저장장치에 파일 등을 저장하려고 시도하게 되면 다음과 같은 대화창을 보게 되면서 저장이 되지 않는다. 물론 읽는 것은 가능하다.


[그림 2 - 쓰기방지 기능 확인]


p.s - 디지털 포렌식 전문가 2급 실기 때 증거 수집 사항을 보고서에 기술 할 때 해당 내용이 꼭 있어야 한다.

  1. 111 2013.11.27 18:15

    이미징을 다하고 USB를 제거할떄는 어떻게하나요? 그냥 장치관리자에서 저가하기 하면 되나요?

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2013.11.27 18:51 신고

      네, 안전하게 제거하기 기능을 이용하시거나 그냥 제거하시면 됩니다.

  2. yhsang2 2014.05.24 19:31

    적어주신대로 레지스트리 경로따라가봤지만 StorageDevicePolicies 라는것이 없습니다. 그런데 c드라이브에 한 폴더(usb x)에 쓰기 방지가 걸려있습니다. 이것때문에 이동도안되고 삭제도안되고 이름변경도 안됩니다. 혹시 외부보조장치에 쓰기방지를 거는것이 아니고 일반폴더에도 레지스트리를 이용해서 쓰기방지를 걸수있습니까?

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2014.05.25 12:58 신고

      글을 잘 읽어보시기 바랍니다. StorageDevicePolicies를 생성하라고 적혀 있네요 ^^..

      레지스트리 설정으로 특정 폴더에 쓰기방지를 걸 수는 없는 것으로 알고 있습니다.

      현재 상태에서는 권한문제로 보이는데, 권한을 한번 살펴보시기 바랍니다.

      또 특정 소프트웨어로 해당 폴더를 쓰기방지하였을 수도 있으니 소프트웨어가 사용되었는지도 살펴보시기 바랍니다.

  3. 2015.11.04 12:58

    비밀댓글입니다

    • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2015.11.24 10:01 신고

      이 방법 말고도 요즘은 소프트웨어로 많이 구현되어 배포되고 있으니 소프트웨어를 사용해 보시기 바랍니다. ^^

+ Recent posts