[Mobile Forensics] 휴대폰 메모리에 대하여

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 휴대폰 메모리에 대하여 알아 보겠습니다. 모두 화이팅 하세요!!!

 

Cellphone Memory

모바일 핸드셋에는 Flash Memory로 알려진 Solid State Memory (비휘발성임)가 장착되어 있습니다.

2가지 유형의 플래시 메모리가 있습니다.

 

https://blog.techdesign.com/nand-vs-nor-understanding-differences-flash-memory/

 

NOR

인텔이 개발하였습니다.

빠른 읽기 속도를 제공합니다.

RAM에 어플리케이션을 복사하지 않고 그 자리에서 어플리케이션을 바로 실행할 수 있습니다.

쓰기와 삭제 성능이 떨어지고 비쌉니다.

 

NAND

대용량 스토리지에 효과적입니다.

빠른 쓰기와 삭제 속도를 제공합니다.

NOR보다 저렴합니다.

플래시 메모리 관리가 가능합니다.

NOR에 비해 수명이 깁니다.

복잡한 I/O 인터페이스를 필요로 합니다.

 

NOR 와 NAND 둘 다 ‘bit flipping’의 먹잇감이 될 수 있습니다. 드물긴 하지만 NAND에서 더 자주 일어납니다.

NOR 메모리는 OS default applications와 같은 code storage media 로 사용될 수 있습니다.

NAND 메모리는 사용자 데이터를 저장하는 용도로 이용될 수 있습니다.

 

Volatile and Non-Volatile Memory

Volatile Memory

Random-access memory

Non-Volatile Memory

휴대폰은 RAM 메모리를 이용하여 현재 사용중인 프로그램과 데이터를 저장합니다.

휴대폰에서 영구적으로 데이터를 저장하여야 할 필요가 있을 경우에는 해당 정보를 NAND 플래시 칩에다 저장합니다.

 

NAND Flash

NAND는 데이터를 저장하기 위해 사용되는 컴퓨터의 논리적 회로입니다.

휴대폰에서는 NAND 보다는 NOR에서 데이터를 검색하는 게 더 빠릅니다.

NAND 플래쉬 블록은 신뢰할 수 있을 정도로 쓰고 지울 수 있는 횟수에 제한이 있습니다.

NAND 블록은 10만번 정도 쓰기/삭제가 가능합니다.

Wear leveling : 모든 물리적인 블록이 균일하게 쓰여지도록 보장하기 위한 기술중 하나입니다.

NAND 플래쉬 메모리의 수명을 늘리기 위해서는 Wear leveling과 Bad-block 관리를 하는 것이 중요합니다.

 

Advantages of NAND Flash

 

NAND의 장점

비휘발성입니다.

저장용량이 매우 큽니다

물리적인 작동 장치가 없습니다.

소비전력이 적습니다.

스마트폰과 같은 디바이스에 적합합니다.

NOR 보다 저렴합니다.

 

다만 덜 안정적입니다

작동하기 위해서는 별도의 RAM이 필요합니다.

순차적인 접근(Sequential access)만 가능합니다.

모바일 장치에서 사진이나 음악 파일 등 데이터를 저장하는 용도로 활용됩니다.

 

NOR의 경우

쓰기 및 삭제 시간이 더 깁니다.

모든 메모리 위치에서 임의적인 접근(Random access)이 가능합니다.

휴대폰의 거의 모든 컨트롤러는 NOR 인터페이스를 갖고 있습니다.

모바일 장치에서 주로 실행 프로그램(executable software)을 저장합니다.

 

플래시 디바이스는 값을 1 --> 0 으로만 쓸 수 있습니다.

즉, 0 --> 1로는 불가능

따라서 데이터가 업데이트 될 때에는 새로운 위치에 새로운 데이터를 쓰고, 예전 위치의 데이터는 invalid로 표시하는 방법을 사용하고, 그런 다음 예전의 위치의 데이터는 삭제한 후 나중에 재사용하게 됩니다.

 

The spare area

Out-of-band data 라고도 불리워집니다.

각각의 섹터 또는 chunk마다 하나씩 존재하고, 16 바이트로 이루어져 있습니다.

이것의 크기는 디바이스의 용량에 포함되지 않습니다.

이것에 직접적으로 주소를 부여할 수 없습니다.

여기에 데이터 verification의 결과를 저장하는 용도로 사용되기도 합니다.

NTFS 파일시스템에서 볼 수 있는 메타데이터와 비슷한 블록과 페이지의 상태에 관한 정보, 기타 정보를 저장할 수 있습니다.

 

NAND vs. Hard Disk

섹터의 표준 크기가 서로 다릅니다.

하드디스크와는 달리, 플래시 드라이브의 쓰기와 삭제 명령은 각각 별개의 실행 입니다.

플래시 칩은 제한된 수명을 갖습니다.

플래시 드라이브는 적절한 전원 종료 절차를 취하지 않고서도 전원 Off가 가능합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : Mobile Device Forensics 2016 (IACIS)