볼륨 분석에 대해서 알아 볼 차례이다.
볼륨 분석은 조사관이 수행한다기 보다 도구에 의해서 일반적으로 진행된다.
분석 기술은 의외로 간단하다. 분석 도구의 로직을 살펴보면 분석 도구는 인식한 파티션 시스템(이미지)에서 파티션 테이블의 위치를 파악한 후 테이블을 식별하여 테이블의 내용을 확인한다. 테이블에는 파티션의 시작, 마지막 섹터값, 파티션 유형등의 정보가 들어 있으며 이 정보를 토대로 파티션 시스템(이미지)에서 각 볼륨들을 파악한다.
일관성 검사라는 것이 있는데 이 것은 파티션을 제외한 다른 영역에서 증거가 있는지 판단할 수 있는 상태 점검을 제공한다.
조사관은 파티션 테이블을 확인하여 파티션의 시작과 마지막 섹터를 확인하고 각 파티션들을 목록화 하여 파티션 사이에 할당되지 않은 섹터가 있는지 확인하여 그곳에 증거가 없는지 분석하여야 한다.
아래는 위 과정을 TSK(The Sleuth Kit)의 mmls 명령어로 실행한 결과이며 대상은 DOS 파티션이다.
위 이미지를 가식화해보면 아래와 같다.
이러한 정보들로 파티션 내부의 파일시스템 파티션을 추출 할 수 있으면 그 예는 다음과 같다.
- dd if=<DOS 파티션 이미지> of=<추출 결과 저장 파일명> bs=<한번에 읽어들일 블록 크기> skip=<건너띌 길이> count=<길이>
위와 같이 파티션 내부의 파일시스템 파티션을 추출해도 되지만 요즘은 도구들이 알아서 해주기도 한다.
볼륨 분석은 조사관이 수행한다기 보다 도구에 의해서 일반적으로 진행된다.
분석 기술은 의외로 간단하다. 분석 도구의 로직을 살펴보면 분석 도구는 인식한 파티션 시스템(이미지)에서 파티션 테이블의 위치를 파악한 후 테이블을 식별하여 테이블의 내용을 확인한다. 테이블에는 파티션의 시작, 마지막 섹터값, 파티션 유형등의 정보가 들어 있으며 이 정보를 토대로 파티션 시스템(이미지)에서 각 볼륨들을 파악한다.
일관성 검사라는 것이 있는데 이 것은 파티션을 제외한 다른 영역에서 증거가 있는지 판단할 수 있는 상태 점검을 제공한다.
조사관은 파티션 테이블을 확인하여 파티션의 시작과 마지막 섹터를 확인하고 각 파티션들을 목록화 하여 파티션 사이에 할당되지 않은 섹터가 있는지 확인하여 그곳에 증거가 없는지 분석하여야 한다.
아래는 위 과정을 TSK(The Sleuth Kit)의 mmls 명령어로 실행한 결과이며 대상은 DOS 파티션이다.
[그림 1 - DOS 파티션 내부 파일시스템 파티션]
위 이미지를 가식화해보면 아래와 같다.
[그림 2 - DOS 파티션 내부 가식화]
이러한 정보들로 파티션 내부의 파일시스템 파티션을 추출 할 수 있으면 그 예는 다음과 같다.
- dd if=<DOS 파티션 이미지> of=<추출 결과 저장 파일명> bs=<한번에 읽어들일 블록 크기> skip=<건너띌 길이> count=<길이>
위와 같이 파티션 내부의 파일시스템 파티션을 추출해도 되지만 요즘은 도구들이 알아서 해주기도 한다.
'[+] Forensic' 카테고리의 다른 글
| File System - Partition (2) (0) | 2012.01.18 |
|---|---|
| File System - Partition (1) (0) | 2012.01.18 |
| File System - Volume (1) (0) | 2012.01.17 |
| 데이터 수집 (0) | 2012.01.15 |
