본문바로가기

발간자료

[2020년 제34-1호] 3. 파일시스템을 이용한 윈도우 저장소 공간 복원율 향상 방안

  • 작성자 : 관리자
  • 작성일 : 2020-04-08
  • 조회수 : 21208
Ⅰ. 서론

 

Ⅱ. 이론적 배경

 

Ⅲ. 획득 방안

 

Ⅳ. 분석 및 복원 방안

 

Ⅴ. 결론

 

  전 세계적으로 생성되는 데이터가 방대해지고 풍부해짐에 따라 데이터의 가용성과 안전성의 문제가 대두되게 되었다.
Microsoft社는 데이터의 가용성을 높이기 위해 윈도우 운영체제에서 동작하는 소프트웨어 RAID 기술인 저장소 공간(Storage Spaces)이라는 기술을 개발하였다. 그럼에도 아직까지 저장소 공간은 많이 알려지지 않았으며, 이에 대한 연구는 거의 되어 있지 않아 다양한 저장소 공간의 구성 환경에서의 획득 및 복원 방안이 필요하다.
또한 디지털포렌식 실무에서 2019년 기준 총 1년간 분석 의뢰건 중 파손(화재, 침수 포함)된 매체의 분석과정을 거치는 사례는 약 229건으로 확인된다. 이처럼 다수의 디스크로 이뤄진 RAID 구성환경에서 만일 디스크의 파손 등 사유로 정상적인 저장소 공간을 구성하지 못하는 최악의 상황이 발생하였다면, 단 1개의 디스크로 데이터 복원율을 극대화하고 의미 있는 데이터를 복구해야 한다.
가상볼륨을 구성할 수 없는 상태에서 현재의 데이터 복원 방법은 카빙 복원이 유일한 방법이며, 카빙에 의한 복원은 파일 및 메타데이터의 불완전한 복원을 할 수밖에 없다는 한계점을 가지고 있다.
본 논문에서는 다양한 실험을 통해 저장소 공간에서의 전반적인 이론적 배경을 확인하고 단일 및 다중 디스크 구성 환경에서 전통적인 획득 방법을 통해 획득된 이미지 파일을 로드 시,  파일 시스템을 해석하지 못해 발생할 수 있는 이슈에 대한 해결 방안을 제시한다.
그리고 디스크 파손 등의 이유로 논리 볼륨을 구성할 수 없는 환경을 중심으로 단 1개의 디스크에서 파일시스템의 특성을 이용하여 메타 데이터를 포함한 일부 데이터를 온전히 복원할 수 있는 방법을 제안한다. 더 나아가 제안한 방법으로 복원된 파일을 분석하여 얻은 타임스탬프 등 다양한 아티팩트를 활용하여 범죄 흔적을 재구성하고 혐의를 입증할 수 있는 가능성을 확인한다.