반도체를 이용한 저장매체
ROM (Read Only Memory)
- 읽기만 가능한 기억 장치. (비휘발성 메모리)
EEPROM
- 전기적으로 읽고 쓰기가 가능한 기억 장치
RAM
- 자유롭게 데이터를 읽고 쓸 수 있는 기억장치
- 주기억장치에 많이 사용 (휘발성의 특징)
DRAM
- 전원이 없으면 값을 유지할 수 없음
- 주기적으로 값을 refresh
- 전원이 차단되지 않더라도 저장된 자료가 소멸되는 단점
- SRAM보다 느림
- 트랜지스터 1개
SRAM
- 전원이 공급되는 한 기억된 데이터가 지워지지 않음
- DRAM보다 빠름
- 캐쉬 메모리를 구현할 때 많이 사용
- 트랜지스터 6개
SDRAM
- DDR SDRAM은 클록 주파수를 높이지 않아도 SDR SDRAM에 비해 대역폭이 거의 두 배 증가
- 외부와의 동기를 위하여 어드레스 입력과 데이터 입출력을 위한 동기 레지스터가 존재
- 1비트 저장을 위해 하나의 트랜지스터로 구현 가능
BD-R
- 듀얼 레이어를 사용하면 50GB의 용량을 가짐
USB (Universal Serial Bus)
- 자유롭게 데이터를 저장하거나 삭제 가능
- 하나의 주 컨트롤러를 통해 최대 127개까지 확장 가능
- 전원이 꺼져도 데이터가 그대로 보존되는 비휘발성 기억장치
- 커넥터와 메모리 칩 사이에서 데이터 전송을 제어하는 컨트롤러(제어기)로 구성되어 있음
- 최대 5G bit/s로 데이터를 전송
- USB 3.0 규격의 제품도 존재
- SLC 방식이 MLC 방식보다 빠름
- 컴퓨터를 비롯한 PDA, 임베디드 장비와 같은 다양한 디지털 기기의 주변 장치와 통신하기 위하여 사용
- 하나의 주 컨트롤러는 허브를 통하여 127개까지 확장하여 사용 가능
- 핫 스와핑 또는 핫 플러깅 기능과 플러그 앤 플레이 기능을 지원
- USB 메모리는 플래시 메모리를 사용함 (그래서 비휘발성)
- EEPROM과 다르게 블록 단위의 쓰기가 많음
- FAT, FAT32, NTFS, YAFFS 등 다양한 파일 시스템 보유
- 데이터 저장 용으로 많이 사용하는 NAND 플래시 메모리 많이 사용
- PC 및 연결기기, 케이블 등 모든 USB 3.0 단자는 파란색 (이전 버전과 구분 가능)
| 이름 | 속도 |
| USB 1.0 (Low Speed) | 1.536 Mbit/s (192 KB/s) |
| USB 1.1 (Full Speed) | 12 Mbit/s (1.5 MB/s) |
| USB 2.0 (Hi-Speed) | 2 Gbit/s (60MB/s) |
| USB 3.0 (Super Speed) | 5 Gbit/s (625MB/s) |
USB의 Type-C 단자
- 기존의 USB 3.0이나 2.0 제품 및 다양한 디지털 장비들과 호환 가능
- 데이터 전송능력은 10Gbps, 전력 송신 능력은 최대 100W까지 가능
- 기존의 Type-A에 비하여 크기가 작으며, 앞뒤의 구분이 없어 연결 용이
핫 스와핑(Hot Swapping) 또는 핫 플러깅 (Hot Plugging)
- 전원이 켜진 상태에서도 장치를 연결하거나 분리, 혹은 교환이 가능
플러그 앤 플레이 (Plug and Play)
- 장치를 연결하면 곧장 컴퓨터에서 주변기기의 연결을 감지
플래시 메모리 (Flash Memory)
- 소비전력이 적음
- 전원이 꺼지더라도 저장된 정보가 사라지지 않은 채 유지되는 비휘발성 기억장치
- 디지털 텔레비전, 디지털 캠코더, 휴대전화, 디지털 카메라, 개인 휴대 단말기(PDA), 게임기, MP3 플레이어 등 개인용 디지털기기 및 PC에 널리 사용
- 메모리 카드에 사진, 음성, 동영상 등의 데이터를 저장
- 블록 단위의 데이터 읽고 쓰기가 가능하며 전기적으로 데이터를 지우고 재기록이 가능한 비휘발성 메모리
- 반도체 메모리
- 특정 지우기 명령어를 통하여 데이터를 지움
- 플로팅 게이트 트랜지스터로 구성된 배열 안에 정보를 저장
- 충격에 강하고 저전력으로 동작이 가능
- 전기적으로 고쳐 쓰기가 가능
- ROM과 RAM의 중간 성격을 띠는 메모리
NOR 플래시 메모리
- 속도는 빠르지만 대용량으로 구성하기에 부적합
- 신뢰성이 높음
- 읽기 속도가 100ns에 달해 고속 랜덤 액세스가 가능
- 1 바이트 단위의 읽고 쓰기가 가능
- 하드 디스크를 장착하기 어려운 휴대기기용 프로그램이나 PDA같은 환경의 기억장치로 널리 사용
- 실행 코드 저장 목적에 많이 사용
NAND 플래시 메모리
- 다소 속도는 느리지만 대용량으로 구성하기에 적합
- SD 메모리 카드나 메모리 스틱 등에 사용됨
- SSD나 디지털 카메라, MP3에도 주로 활용
- 데이터 저장 목적에 많이 사용
- 블록 페이지 단위로 구성, 블록 단위로 삭제, 페이지 단위로 프로그래밍
- 한 개의 블록은 여러 개의 페이지로 구성
읽기/쓰기 속도
- 메모리 카드의 읽기/쓰기 속도가 빠를수록 사진을 빠르게 촬영 가능
- 고품질의 사진 및 동영상을 촬영할 때 빠른 읽기/쓰기 속도는 필수
BIOS
- 운영체제와 하드웨어 사이의 입출력을 담당하는 저수준(Low-Level)의 소프트웨어와 드라이버로 구성된 펌웨어
- 운영체제와 하드웨어의 통신을 위한 중간매체
- 하드디스크의 구성, 종류, 용량 등을 확인 가능
- 시스템의 부팅 순서를 설정 가능
- BIOS에 의해 저장된 시스템 시간은 디지털포렌식 관점에서 매우 중요
HDD (Hard Disk Drive)
- 가장 널리 쓰이는 저장매체로 비휘발성 저장장치
- SSD에 비하여 진동, 충격, 자성 등 외부 환경에 취약
- 플래터는 양면에 데이터를 모두 기록 가능
- 비휘발성, 순차 접근이 가능한 컴퓨터의 보조기억장치로 활용됨
- 저장되는 모든 데이터는 0과 1 두 디지털 신호에 의해 이루어짐
- 초기의 병렬 방식인 PATA와 2003년에 개발된 직렬 방식인 SATA가 있음
HPA (Host Protected Area)
- ATA-4부터 등장한 HDD에 의하여 예약된 영역
- OS, BIOS, 사용자에게 보이지 않는 영역 (제외된 상태로 이미징 수집될 가능성 존재)
- 하드디스크 조사시 또는 디스크 이미징 작업시 반드시 확인해야 하는 영역
- HDD 제조사에 따라 정의된 특별한 ATA 명령을 통해 접근 가능
- 시스템 부팅이나 진단 유틸리티를 저장하거나 시스템 복구를 위하여 사용되기도 함
- BIOS를 통해 접근이 불가능하여 루트킷에 의한 악의적인 용도로 사용되거나 주요 파일을 숨기는 목적으로 사용 가능
- 사용자가 하드디스크 내용을 포맷거나 삭제했을 때 지워지지 않는 데이터를 저장
- 디스크 끝에 위치하며 하드디스크 재설정에 의해서만 접근 가능
DCO (Device Configuration Overlay)
- ATA-6에서 추가되었고, 하드디스크의 기능 저하
- 여러 사이즈로 제조한 HDD를 같은 섹터 개수를 가지는 고정된 크기의 HDD로 구성이 가능
- BIOS를 통하여 확인되지 않아 증거 은닉의 목적으로 사용 가능한 영역
- 특별한 ATA 명령을 통하여 접근 가능
- 자신의 기능을 IDENTIFY_DEVICE 명령어 결과값에 추가하지 않아 존재하지 않는 것처럼 보이게 함
하드 디스크 드라이브의 인터페이스 규격
- ATA
- EIDE
- SATA
SSD (Solid State Disk)
- HDD와 달리 반도체 메모리를 내장
- HDD와 동일한 형태로 개발된 대용량 플레시 메모리
- HDD와 동일한 연결 인터페이스를 사용
- 자기장을 이용한 HDD와 달리 NAND 플래시 반도체를 이용하여 정보를 저장
- 작동 소음이 없으며 전력 소모가 적음
- 제품에 따라 저장매체로 일반 램(RAM)을 탑재한 모델과 플래시 메모리(Flash Memory)를 탑재한 모델이 존재
- 내부 구조는 PC와 연결되는 인터페이스(연결 포트 등)와 데이터 저장용 메모리, 인터페이스와 메모리 사이의 데이터 교환 작업을 제어하는 컨트롤러 및 외부 장치와 SSD 간의 처리 속도 차이를 줄여주는 버퍼 메모리로 구성
- 임의 접근을 하여 탐색 시간 없이 고속으로 데이터 입출력 가능
- HDD에 비하여 외부의 충격으로 데이터 손상 가능성 적음
- 데이터 덮어쓰기가 불가능하여 쓰기 속도가 저하되는 특징이 있음
SSD의 Trim 명령어
- 삭제된 데이터의 공간을 미리 비워두는 기능
- 특정 명령어를 통해 자동 Trim 기능을 활성 및 비활성 가능
- SSD의 파일 쓰기 성능 저하를 막기 위하여 등장
- 운영체제에서 파일을 삭제하면 FTL(Flash Translation Layer)에서 즉시 또는 일정 시간 후에 삭제한 파일에 속한 섹터의 물리적 페이지 대응 정보를 삭제하는 것
- 운영체제가 TRIM을 적절한 시점에 호출하면 SSD의 성능이 좋아짐
- 사용하지 않은 페이지들을 모아서 블록 단위로 지우는 가비지 컬렉션과 밀접한 관계가 있음
광학 저장 매체 (Optical Disk)
CD-ROM
- 12cm 단면 원형 폴리카보네이트로 이루어진 저장 매체에 모든 형태의 디지털 정보 저장 가능
Blu-Ray Disc
- Sony를 대표로 HD 및 대용량 데이터를 지원하기 위하여 같은 크기의 DVD에 청색 레이저를 사용
- 듀얼 레이어 Blu-Ray Disc는 최대 50GB 크기의 고화질 비디오를 저장
광자기 디스크 (MO Disk : Magneto-Optical Disk)
- 레이저를 이용하여 데이터를 쓰고 지움
- 자성에 의하여 데이터가 지워질 우려가 없어 보관성이 뛰어남
- 전문가를 위한 고가의 매체로 사용
- 종류는 130mm와 90mm로, 용량은 650MB부터 9.2GB까지 다양
RAID (Redundant Array of Inexpensive Disk)
- 데이터를 분할해서 복수의 자기 디스크 장치에 대하여 병렬로 데이터를 읽는 장치 또는 읽는 방식
- 여러 디스크를 병렬로 연결하여 사용하는 기법
- 접근 속도와 데이터 보존 신뢰가 우수할수록 높은 등급을 받는 단계로 구분
- 다수의 디스크 드라이브를 묶어 빠르고 안정적인 하나의 저장 장치처럼 사용 가능
- 데이터를 나누는 다양한 방법이 존재 (이를 레벨이라 함)
- 중첩 레벨에 따라 신뢰성과 성능 향상을 보여줌
- 레벨에서 그룹화된 디스크들은 하나의 볼륨처럼 사용되므로 RAID 볼륨이라 함
RAID 볼륨으로 구성된 시스템 조사할 때 유의 사항
- RAID 볼륨의 이미지를 만들기 전에 각 디스크의 이미지를 먼저 만드는 것이 더 유용할 수 있음
- 개별적인 디스크 이미지에는 최종 RAID 볼륨에 없는 데이터가 존재할 수 있음
- RAID 볼륨 디스크를 수집할 때, 원본 디스크를 수정하지 않도록 주의
- 수정 방지를 위하여 쓰기 방지 장치 등을 사용해야 함
RAID-0
- 최소 2개 이상의 디스크를 사용하여 2개 이상의 볼륨을 구성한 구조
- 오류 검출 기능을 제공하지 않기 때문에 디스크 하나만 고장나도 데이터를 복구할 수 없음
- 속도가 향상되는 장점이 있으나 하나의 드라이브에 장애가 발생하면 전체 드라이브를 사용할 수 없게 되는 단점 존재
RAID-1
- 하드디스크 미러링을 구성
- 단순히 모든 데이터를 반사 디스크에 복사하고 비교해서 오류를 검사하고 수정 가능
- 전체 디스크 용량에 비하여 사용 가능한 용량은 절반
RAID-4
- 여분의 Parity 전용 디스크를 사용하여 신뢰성을 높인 방법으로 전체 디스크가 N개로 구성되면 실제 사용 가능한 디스크는 N-1개
- 데이터 변화가 빈번한 경우 Parity 디스크에 큰 부하가 걸려 병목현상에 의해 성능이 저하될 수 있음
RAID-5
- 가장 자주 볼 수 있는 유형 중 하나이며 최소한 3개의 디스크를 포함
- 전용 패리티 디스크가 없으며, 모든 디스크들은 데이터와 패리티 값을 포함
저장매체 및 기기의 입출력
SATA (Serial ATA)
- 접점이 7개
- 전원이 켜져 있는 상태에서도 교체 가능
- SATA3는 6Gbits/s (600MBps)
- 병렬 전송 방식의 ATA를 직렬 전송 방식으로 변환한 드라이브 표준 인터페이스
eSATA
- 내장형 인터페이스인 SATA를 외장형으로 만든 디스크
- 전원이 켜진 상태에서도 외장 하드를 탈착 / 교체할 수 있는 기능 지원
- 인터페이스 자체적으로 전원 공급이 되지 않음
- SATA와 eSATA 인터페이스는 다른 규격의 케이블 사용
SCSI (Small Computer System Interface)
- 주로 서버 시스템에 많이 사용
- 하나의 컨트롤러에 최대 16개의 장치를 연결 가능
- 각 장치는 서로 독립적으로 동작 가능
IEEE1394
- 미국의 Apple 사가 제창한 PC 및 디지털 오디오, 디지털 비디오 용 시리얼 버스 인터페이스 표준 규격
- 플러그 앤 플레이 및 핫 스와핑 기능 제공
접근 방법에 따른 기억장치 유형
직접 접근 : 접근 시간이 원하는 데이터의 위치와 이전 접근 위치에 따라 결정
임의 접근 : 이전의 접근 순서와 무관하게 항상 일정
순차적 접근 : 원하는 데이터가 저장된 위치에 따라 결정됨
'디지털 포렌식 (Forensic) > 디지털포렌식전문가 2급 필기' 카테고리의 다른 글
| [디지털포렌식전문가 2급 필기] 1-3-3. 하드디스크 드라이브의 이해 (0) | 2020.10.12 |
|---|---|
| [디지털포렌식전문가 2급 필기] 1-3-2. 디지털 기기의 종류 (0) | 2020.10.12 |
| [디지털포렌식전문가 2급 필기] 1-2-4. 데이터 인코딩 (0) | 2020.10.07 |
| [디지털포렌식전문가 2급 필기] 1-2-3. 문자 (0) | 2020.10.07 |
| [디지털포렌식전문가 2급 필기] 1-2-2. 수 체계 (0) | 2020.10.07 |