Digital Forensic - Imaging, Cloning, Copying

 데이터를 수집, 이동, 보관, 분석 등의 과정에서 원본의 변질을 막기 위해 다른 저장매체에 원본과 같은, 혹은 어떤 처리를 한 데이터를 저장하는데 이 작업은 아래와 같은 세 가지 방식이 있다.

	저장매체 복사	저장매체 복제	저장매체 이미징
획득 대상	파일, 디렉토리	원본의 모든 물리적 섹터	원본의 모든 물리적 섹터
획득 결과	파일, 디렉토리	사본 저장매체	이미지 파일
동작 방식	원본 읽기, 사본에 쓰기	비트스트림 복제	비트스트림 이미징
데이터 손실 여부	데이터 손실 발생	모든 원본 데이터 획득	모든 원본 데이터 획득
데이터 복구 여부	복구 불가능	삭제된 데이터 복구 가능	삭제된 데이터 복구 가능
모든 물리적 섹터: 탐색기로 확인할 수 있는 파일/디렉터리 구조 외의 슬랙 공간(물리적 구조와 논리적 구조의 차이로 인해 발생하는 낭비 공간. 가상 메모리의 단편화와 비슷한 개념)과 비할당 영역까지 포함해서 저장매체의 첫 번째 섹터부터 마지막 섹터까지 모든 데이터.

 복사는 원본 파일/디렉터리를 단순히 다른 저장매체에 Ctrl + C / Ctrl + V 하는 방식이다. 논리적인 데이터만 복사되기에 삭제된 데이터는 복구할 수 없고 획득한 증거의 무결성 검증을 위해 별도의 데이터 포맷을 사용하거나 복사본이 있는 저장매체를 보호하는 방안이 있어야한다.

증거를 획득하는 가장 기본적인 방법이지만 데이터 복구가 불가능해서 실제론 거의 사용되지 않으며 앞으로 복사라는 단어는 이 특성을 가진 복사가 아닌 문맥에 맞춰 동적인 의미의 복사를 뜻한다.

 

 복제는 원본의 모든 물리적인 섹터를 다른 저장매체로 복제하는 방식이다. 모든 물리적 섹터를 복제하므로 복제본을 담을 저장매체는 원본의 저장매체보다 커야 안정적으로 복제가 가능하다.

단순히 비트스트림 복제 작업만 하기에 가장 속도가 빠르다. 그러나 100개의 저장매체를 분석하기 위해서는 100~300개 이상의 저장매체가 필요하기에 비효율적이다. 데이터를 배포하려면 물리적인 저장매체를 전달해야 하므로 실제 환경에서는 적합하지 않다.

초기에는 복제가 많이 사용되었으나 최근에는 현장에서 빠른 데이터 수집이 필요한 경우, 링크의 그림과 같이 1차 수집을 위해서만 주로 사용된다. 마찬가지로 그림과 같이 복제한 복제본은 분석의 효율성을 위해 다시 이미징 과정을 거치게 된다.

 

 이미징은 원본의 모든 물리적인 섹터를 파일 형태로 만드는 방식이다. 초기에는 Disk Dump(dd) 방식을 사용했지만 최근에는 획득한 이미지 파일의 손상을 보호하기 위해 별도의 포렌식 이미지 포맷을 사용한다. 이를 사용하면 원본 비트스트림 데이터를 압축해 이미지 크기를 줄이거나 암호화를 해서 데이터를 보호할 수도 있다.

현재 가장 많이 사용되는 데이터 수집 방식이다. 원본 데이터 수집과 동시에 압축할 수 있기에 이미지 파일이 있을 저장매체의 용량을 대폭 줄일 수 있다. 단일 저장매체를 분석한다면 압축률이 크지 않아 영향이 없지만 다수의 시스템을 분석할 경우 압축이 필수적이다. 또한 파일 형태로 저장되기에 데이터를 배포하려면 간단한 복사를 통해 전달할 수 있다.

 

증거물 복제/이미지 작업 준수사항

• 원본의 무결성 유지를 위해 쓰기방지장치를 사용해야 한다.
• 증거물 복제는 보관용과 분석용으로 나뉘는데 이들은 물리적 위치를 따로 지정해 관리해야 한다.
• 원본/보관용/분석용 증거물에 대한 무결성을 유지해야 한다.
• 분석용/보관용 복제 증거물에 대한 일련번호를 부여하고 원본 복제 과정을 기록해야 한다. (해시 검색)
• 증거물 복제는 제삼자의 입회 하에 이루어져야 하며 복제 증거물의 무결성에 대해 입회자와 분석 책임자의 서명이 있어야 한다. (해시 검색)
• 원본의 복제는 원본이 있던 디바이스와 동일하거나 유사한 장치(환경)에서 이루어져야 한다.

이미징 준수사항

• 복제본을 대상으로 이미지 작업을 수행하며 복제본의 무결성을 위해 쓰기방지장치를 사용한다.
• 획득한 이미지의 무결성을 유지한다.
• 이미지 작업은 제삼자의 입회 하에 이루어져야 하며 이미지의 무결성에 대한 입회자와 분석 책임자의 서명이 있어야 한다.

이미지 파일 포맷

 이미징 할 때 만들어지는 사본 파일을 이미지 파일이라고 한다. 이 파일은 여러 가지 형태로 저장되는데 이들은 원본 이미지(Raw image)와 프로그램(임의의 제품)의 고유 이미지 포맷(Program Specific File Format)으로 분류된다.

 

1. 원본 이미지

 원본의 데이터를 추가/삭제 없이 이미지화한 데이터이다. 여기에는 이미지 파일 자체에 대한 정보 외에 추가적인 메타데이터는 없으며 원본 이미지 추출은 일반적으로 별도의 변환 없이 원본 디바이스에서 대상 파일로 비트를 전송(=복사)하는 방식으로 이루어진다. 이런 단순 비트 단위 복사는 직관적이고 유연한 분석이 가능하지만 포렌식을 위해 설계된 시스템이 아니므로 로깅, 오류처리 및 해싱과 같은 기능이 없다. (.txt와 비슷하다.)

1-1. Disk Dump (dd)

 원본 이미지를 만들기 위해 사용되는 고전적이며 간단한 Unix의 유틸리티이다. 디스크의 개별 섹터에 대해 완전한 원본 레벨 복사본을 생성하기에 원본과 완전히 동일한 형태의 이미지 파일이 생성된다. 포렌식 유틸리티가 아래의 E01 포맷을 지원하지 않거나 포렌식 관점이 아닐 경우 E01을 이 dd로 변환해서 사용한다.

 

2. 이미지 포맷

 특정 프렌식 프로그램의 확장자를 가진다. 원본 이미지와 달리 포렌식을 위한 이미지화를 할 때, 조사, 조사자, 드라이브 세부 정보, 로그 및 타임스탬프, 암호학적 해시 등에 대한 메타데이터를 포함하며 수집된 데이터를 압축/암호화할 수도 있다. (.doc, .hwp 등과 비슷하다.)

2-1 Expert Witness compression Format (EWF)

 Guardiance Software에서 EWF를 사용하는 EnCase 포렌식 소프트웨어를 제작한다. EWF 파일은 E01 확장자를 가지며 거의 대부분의 포렌식 유틸리티가 지원하는 파일 형태이다.

E01 파일은 MD5로 무결성의 여부를 확인, CRC로 어느 블록의 데이터가 오염되었는지 확인한다. 그리고 암호화를 위해 AES256을 사용한다.

Data Block: 64섹터로 이루어져 있으며 보통 1섹터는 512바이트이다. Header와 Data Block은 각각의 CRC 값을 가지고 있다. MD5는 CRC를 제외한 Data Block 값으로만 계산되므로 원본과 MD5의 값이 동일하다. 포렌식 유틸리티는 이미지를 불러올 때 Data Block에 대한 CRC와 E01에 있는 CRC를 비교해 무결성을 확인한다. 전체 데이터가 로드되면 Data Block에 대한 MD5를 계산하고 E01에 있는 MD5를 비교해 무결성을 확인한다.

E01 확장자

2-2. SMART

 리눅스의 유틸리티로 SMART의 이미지 파일 역시 메타데이터, 압축, 암호화, 해시, 파일 분할 등을 포함한다.

2-3. Advanced Forensic Format (AFF)

 오픈소스 형태의 확장 가능한 포맷으로 이로 인해 모든 기능이 포함되어있다.

 

보통 디지털 포렌식으로 데이터를 수집할 때 사용하는 소프트웨어로서 FTK Imager가 de facto, 즉 사실상 표준이다.