[EnCase] RAID 시스템 분석하기 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 EnCase로 RAID 시스템을 분석하는 방법에 대해 알아 보겠습니다. 모두 화이팅 하세요.

 

하드웨어 RIAD를 증거  이미지로 추가하기

Evidence 탭의 Table view에서 우측 드롭다운 메뉴 --> Create Disk Configuration을 선택합니다.

Disk Configuration 상자에서 3가지 옵션을 선택 합니다.

 

Component Device

각 개별 디스크 드라이브의 올바른 순서를 정해 줍니다.

이러한 순서에 대한 설정은 하드웨어 RAID에만 국한되는 것이 아닙니다.

즉, 소프트웨어 RAID의 경우에는 신경 쓰지 않아도 됩니다.

 

Disk Configuration

RAID의 종류를 설정해 줍니다.

RAID 5가 가장 흔히 사용되지만, 적절하지 않을 경우에는 RAID에 대한 스트라이프 크기를 패리티와 함께 입력합니다. (이러한 정보는 RAID 컨트롤러 카드의 BIOS에서 확인 가능합니다.)

 

Stripe Size

스트라이프의 크기를 설정해 줍니다.

보통 64 KB --> 128 KB --> 256 KB 순으로 맞추어 봅니다.

 

 

소프트웨어 RIAD 증거 추가하기

RAID 0, 1의 경우 소프트웨어 방식의 RAID도 실용성이 있으나, 그 이상은 성능이 현저히 떨어집니다.

 

2가지 방식의 Windows 소프트웨어 RAID 구성

레지스트리 방식

RAID 설정 데이터는 System 레지스트리 하이브에 저장됩니다.

 

동적 디스크 방식

각각의 디스크에 있는 DB에 정보를 저장합니다.

 

레지스트리 설정 방식의 Software RAID

Device --> Scan Disk Configuration을 선택합니다.

 

 

동적 디스크 설정 방식의 Software RAID

필요한 정보가 각각의 멤버 디스크에 저장되어 있어, 복구가 용이합니다.

Device --> Scan Disk Configuration을 선택하기만 하면 됩니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Advanced Forensics