포렌식 디스크 컨트롤러

포렌식 디스크 컨트롤러 또는 하드웨어 쓰기 블록 장치는 드라이브 내용을 손상시키지 않고 컴퓨터 하드 드라이브에 대한 읽기 전용 액세스를 얻기 위해 만들어진 특수한 유형의 컴퓨터 하드 디스크 컨트롤러입니다.가장 일반적인 응용 프로그램이 컴퓨터 하드 드라이브에 증거가 들어 있을 수 있는 조사용이기 때문에 장치 이름이 포렌식입니다.이러한 컨트롤러는 지금까지 컴퓨터와 IDE 또는 SCSI 하드 드라이브 사이에 들어가는 동글 형태로 만들어졌지만 USB와 SATA의 등장으로 이러한 새로운 기술을 지원하는 포렌식 디스크 컨트롤러가 널리 보급되었습니다.Steve Bress와 Mark Menz는 하드 드라이브 쓰기 블록을 발명했습니다(미국 특허 6,813,682).^[1]

조사 대상 스토리지 미디어와 조사자의 컴퓨터 사이에 설치되는 장치를 "브릿지 키트"라고 합니다.브릿지 키트에는 스토리지 미디어용 커넥터와 조사원의 컴퓨터용 커넥터가 있습니다.이를 통해 조사자는 조사 ^[2]대상 장치를 읽을 수 있지만 변경할 수는 없습니다.

미국 국립법무연구소(United Stitute of Justice)는 다음 최상위 도구 요건을 공식적으로 식별하는^[3] CFT(Computer Forensional Tool Testing) 프로그램을 운영하고 있습니다.

• 하드웨어 쓰기 블록(HWB) 디바이스는 스토리지 디바이스 상의 데이터를 변경하는 명령을 보호된 스토리지 디바이스에 송신해서는 안 된다.
• HWB 장치는 읽기 조작에 의해 요청된 데이터를 반환해야 한다.
• HWB 장치는 드라이브에서 요청한 중요한 액세스 정보를 수정하지 않고 반환해야 합니다.
• 스토리지 디바이스가 HWB 디바이스에 보고하는 에러 상태는 호스트에게 보고해야 합니다.

묘사

포렌식 디스크 컨트롤러는 호스트 운영 체제의 쓰기 명령을 가로채 드라이브에 연결할 수 없도록 합니다.호스트 버스 아키텍처가 이를 지원할 때마다 컨트롤러는 드라이브가 읽기 전용이라고 보고합니다.디스크 컨트롤러는 디스크에 대한 모든 쓰기를 거부하여 장애로 보고하거나 온보드 메모리를 사용하여 세션 기간 동안 쓰기를 캐시할 수 있습니다.

메모리에 쓰기를 캐시하는 디스크 컨트롤러는 드라이브가 쓰기 가능한 것처럼 운영 체제에 표시하고 메모리를 사용하여 덮어쓰려고 시도한 개별 디스크 섹터에 대한 변경을 운영 체제가 볼 수 있도록 합니다.이를 수행하려면 운영 체제가 섹터를 변경하려고 시도하지 않은 경우 디스크에서 섹터를 검색하고 변경된 섹터에 대해 메모리에서 변경된 버전을 검색합니다.

사용하다

포렌식 디스크 컨트롤러는 포렌식 분석 중에 디스크 이미지를 생성하거나 획득하는 프로세스와 가장 일반적으로 연결됩니다.이러한 용도는 증거의 의도치 않은 수정을 방지하기 위한 것이다.

하드웨어를 사용하여 하드 드라이브를 쓰기로부터 보호하는 것은 여러 가지 이유로 매우 중요합니다.우선, Windows 를 포함한 많은 operating system은, 시스템에 접속되어 있는 모든 하드 디스크에 쓸 수 있습니다.적어도 Windows 에서는, 액세스 한 파일의 액세스 시간을 갱신해, 휴지통의 숨김 폴더나 보존되어 있는 하드웨어 구성의 작성 등, 예기치 않게 디스크에 쓸 수 있습니다.분석에 사용되는 시스템의 바이러스 감염 또는 말웨어가 검사 대상 디스크를 감염시킬 수 있습니다.또한 NTFS 파일 시스템은 완료되지 않은 트랜잭션을 커밋 또는 롤백하거나 볼륨의 플래그를 변경하여 "사용 중"으로 표시할 수 있습니다.최악의 경우 원치 않는 파일이 하드 디스크에서 삭제된 공간을 할당하고 덮어쓸 수 있습니다. 이로 인해 이전에 삭제된 파일의 형태로 증거가 손상될 수 있습니다.

조사 중에 드라이브의 내용이 변경되었다는 잠재적 의혹에 대응하기 위해 조사 ^[4]중에 증거 드라이브를 쓰기로부터 보호하는 것도 중요합니다.물론, 이것은 어쨌든 주장될 수 있지만, 드라이브를 쓰기로부터 보호하는 기술이 없는 한, 그러한 주장은 반박할 방법이 없다.

레퍼런스