[File System] 메타데이터 기반 복구 기술, 압축과 암호화 등

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 메타데이터 기반 복구 기술과 압축 파일, 암호화 파일, 관련 분석기술에 대해 알아 보겠습니다. 모두 화이팅 하세요.

 

메타데이터 기반 파일 복구

크게 2가지 형태의 파일 복구 기술이 있습니다.

 

메타데이터 기반 파일 복구

삭제된 파일의 메타데이터가 존재할 때만 가능한 복구 기술입니다.

 

응용프로그램 기반 파일 복구

삭제된 파일의 메타데이터가 영구히 삭제되었거나  삭제된 파일의 메타데이터 구조체가 새로운 파일에 재할당된 경우에 가능한 복구 기술입니다.

메타데이터 구조체와 데이터 유닛이 새로운 파일에 할당되어 서로 맵핑 되지 않을 수도 있습니다. (덮어 쓰여짐)

비할당 메타데이터 구조체가 여전히 데이터 유닛 주소를 가지고 있다 하더라도 데이터 유닛의 내용이 원래의 것인지, 아니면 새롭게 생성된 파일에 관한 내용인지 판단하기가 어렵습니다

결국 복구한 파일을 해당 응용프로그램으로 열어서 확인해야 합니다.

 

압축 및 스파스(Sparse) 파일

파일내용을 압축하여 저장할 수 있습니다.

 

3가지 수준의 압축

어떤 파일 포맷의 내부 데이터를 압축

예) JPEG

이미지 데이터는 압축하지만, 파일 헤더는 압축하지 않습니다.

 

외부프로그램이 파일 전체를 압축하여 새로운 파일을 생성

사용전에 압축을 풀어주어야 합니다.

 

파일시스템이 데이터를 압축

사용자와 응용프로그램은 파일이 압축되었는지 모릅니다.

다음과 같이 2가지 압축기술을 사용합니다.

- 일반 압축기술을 데이터 유닛에 적용합니다.

- 파일 내용에서 ‘0’으로 채워진 것들은 디스크에 저장하지 않습니다.

‘0’으로 채운 데이터 유닛을 건너 뛴 파일을 '스파스 파일'이라고 합니다.

 

암호화 파일

파일내용을 암호화하여 저장할 수 있습니다.

 

4가지 수준의 암호화

어떤 파일 포맷의 내부 데이터를 암호화

예) HWP

 

외부프로그램이 파일 전체를 암호화 하여 새로운 파일을 생성

 

파일시스템이 데이터를 암호화

사용자와 응용프로그램은 파일이 암호화되었는지 모릅니다.

 

볼륨 단위 암호화

파일 내용뿐만 아니라 파일시스템 전체 데이터를 암호화합니다.

다만, 일반적으로 운영체제가 포함된 볼륨은 볼륨 전체를 암호화 하지 않습니다.

파일명, 시간정보 등 파일의 내용이 아닌 것들은 암호화 대상이 아닙니다

 

메타데이터 검색 기술

파일명을 찾아 관련된 자세한 정보를 획득하는 기술 입니다.

 

 

논리적 파일 보기 기술

해당 파일의 메타데이터를 찾은 후, 데이터 유닛을 읽어 내용을 확인하는 기술입니다.

 

 

논리적 파일 찾기 기술

특정 문구나 단어가 포함된 모든 파일을 찾는 기술입니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)