최근 플래시 메모리가 디지털 기기의 저장장치로 널리 사용됨에 따라 플래시 메모리에서 디지털 증거를 분석하기 위한 디지털 포렌식의 필요성이 증가하고 있다. 이를 위해 플래시 메모리에 저장되어 있는 파일을 효율적으로 복구하는 것이 매우 중요하다. 그러나 기존의 하드 디스크 기반 파일 복구 기법을 플래시 메모리에 그대로 적용하기에는 너무나 비효율적이다. 덮어쓰기 불가능과 같이 플래시 메모리는 하드 디스크와 전혀 다른 특성을 가지기 때문이다. 본 논문에서 디지털 포렌식을 지원하기 위한 플래시 메모리를 잘 이해하는 파일 복구 기법을 제안한다. 첫째, 플래시 메모리 저장장치로부터 복구 가능한 모든 파일들을 효과적으로 검색하는 방법을 제안한다. 이것은 플래시 메모리의 쓰기 연산을 담당하는 FTL(Flash Translation Layer)의 메타데이터를 최대한 활용한다. 둘째, 복구 대상 파일들 중에서 특정 파일을 효율적으로 복구할 수 있는 기법을 제안하며, 이를 위해 FTL의 사상 테이블의 위치 정보를 이용한다. 다양한 실험을 통해 본 논문에 제안하는 기법이 기존의 하드 디스크 기반 파일 복구 기법보다 우수함을 보인다.
최근 플래시 메모리가 디지털 기기의 저장장치로 널리 사용됨에 따라 플래시 메모리에서 디지털 증거를 분석하기 위한 디지털 포렌식의 필요성이 증가하고 있다. 이를 위해 플래시 메모리에 저장되어 있는 파일을 효율적으로 복구하는 것이 매우 중요하다. 그러나 기존의 하드 디스크 기반 파일 복구 기법을 플래시 메모리에 그대로 적용하기에는 너무나 비효율적이다. 덮어쓰기 불가능과 같이 플래시 메모리는 하드 디스크와 전혀 다른 특성을 가지기 때문이다. 본 논문에서 디지털 포렌식을 지원하기 위한 플래시 메모리를 잘 이해하는 파일 복구 기법을 제안한다. 첫째, 플래시 메모리 저장장치로부터 복구 가능한 모든 파일들을 효과적으로 검색하는 방법을 제안한다. 이것은 플래시 메모리의 쓰기 연산을 담당하는 FTL(Flash Translation Layer)의 메타데이터를 최대한 활용한다. 둘째, 복구 대상 파일들 중에서 특정 파일을 효율적으로 복구할 수 있는 기법을 제안하며, 이를 위해 FTL의 사상 테이블의 위치 정보를 이용한다. 다양한 실험을 통해 본 논문에 제안하는 기법이 기존의 하드 디스크 기반 파일 복구 기법보다 우수함을 보인다.
Recently, as flash memory is used as digital storage devices, necessity for digital forensics is growing in a flash memory area for digital evidence analysis. For this purpose, it is important to recover crashed files stored on flash memory efficiently. However, it is inefficient to apply the hard d...
Recently, as flash memory is used as digital storage devices, necessity for digital forensics is growing in a flash memory area for digital evidence analysis. For this purpose, it is important to recover crashed files stored on flash memory efficiently. However, it is inefficient to apply the hard disk based file recovery techniques to flash memory, since hard disk and flash memory have different characteristics, especially flash memory being unable to in-place update. In this paper, we propose a flash-aware file recovery technique for digital forensics. First, we propose an efficient search technique to find all crashed files. This uses meta-data maintained by FTL(Flash Translation Layer) which is responsible for write operation in flash memory. Second, we advise an efficient recovery technique to recover a crashed file which uses data location information of the mapping table in FTL. Through diverse experiments, we show that our file recovery technique outperforms the hard disk based technique.
Recently, as flash memory is used as digital storage devices, necessity for digital forensics is growing in a flash memory area for digital evidence analysis. For this purpose, it is important to recover crashed files stored on flash memory efficiently. However, it is inefficient to apply the hard disk based file recovery techniques to flash memory, since hard disk and flash memory have different characteristics, especially flash memory being unable to in-place update. In this paper, we propose a flash-aware file recovery technique for digital forensics. First, we propose an efficient search technique to find all crashed files. This uses meta-data maintained by FTL(Flash Translation Layer) which is responsible for write operation in flash memory. Second, we advise an efficient recovery technique to recover a crashed file which uses data location information of the mapping table in FTL. Through diverse experiments, we show that our file recovery technique outperforms the hard disk based technique.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
조각 파일로 분류되면 해당 FAT 엔트리 정보를 기본 복구정보 외에 추가로 수집한다. 검색방안으로 수집된 정보는 복구 시 사용하고 사용자에게 보고하기 위한 목적으로 리스트화 한다.
복구가 가능한 파일이다. 따라서 본 논문은 디렉토리스캐닝 기법을 플래시 메모리의 특성을 이용하여 변경하는 것을 제안한다. 제안하는 순수 삭제 파일콰 수정 파일의 검색방안은 241절과 같이 디렉토리 스캐닝 기법을 사용할 시 발생하는 디렉토리 엔트리가 덮어쓰인 경우의 한계점을 보안한다.
엔트리의 할당영역이 같은 특징이 있다. 따라서 이전 디렉토리 엔트리와 최신 디렉토리 엔트리를 비교하여 같은 영역을 지니는 디렉토리 엔트리를 검색한다. 그림 8은 불순 삭제파일의 검색을 위한 예시이며 PBN 35 와 PBN 36은 데이터블록으로 PBN 90과 PBN 91은 로그 블록으로 가정한다.
본 논문에서 제안하는 기법은 디스크기반 복구기법의 한계점을 해결하는 목표를 지닌다. 따라서 복구가 불가능한 불순 삭제파일을 검색하고 복구하는 두 가지 실험을 하였다.
불가한 불순 삭제파일이 존재한다. 본 논문에서는 플래시 메모리상에서 불순 삭제파일을 검색, 복구하는 효율적안 플래시 메모리기반 복구기법을 제안했다. 디스크기반 복구기법과 다르게 본 기법은 bast FTL 을 이용하여 불순 삭제파일의 복구가 가능하다.
본 논문은 연구기반으로 디스크 파일시스템 중에 대표적이고 많이 사용되는 FAT32I8]를 연구하였다. FAT32는 관리영역인 MBRCMaster Boot Record), FAT(FUe Allocation Table) 영역, 디렉토리 엔트리(Directory Entry) 등과 데이터영역으로 구부된다.
본 논문은 위와 같은 플래시 메모리의 특성을 고려한 효율적인 플래시 메모리기반 복구기법을 제안한다. 파일 시스템이 파일의 삭제, 생성, 수정작업으로 메타데이터를 수정하면, BAST FTL이 덮어쓰기 데이터인 최신메타데이터를 로그블록에 기록해서 이전 메타데이터가 유지된다.
본 절에서는 디지털 포렌식 수사에서 증거분석 절차의 데이터복구 방안 중 디스크기반 복구기법에 대해서 기술한다.
가설 설정
따라서 이전 디렉토리 엔트리와 최신 디렉토리 엔트리를 비교하여 같은 영역을 지니는 디렉토리 엔트리를 검색한다. 그림 8은 불순 삭제파일의 검색을 위한 예시이며 PBN 35 와 PBN 36은 데이터블록으로 PBN 90과 PBN 91은 로그 블록으로 가정한다. 그림 8과 같이 PBN 91번에서 할당된 영역 5번으로 같은 디렉토리 엔트리, E5.
제안 방법
FTLe 사상방안이나 소거 연산의 회피방안에 따라 분류되며 본 논문은 연구기반으로 BAST FTL를 사용한다. BAST FTLe 데이터를 기록하기 위한 데이터블록과 다른 자리에 덮어쓰기를 하기 위한 공간인 로그블록으로 플래시 메모리의 블록을 나누어 사용한다. 데이터블록은 사상단위가 블록인 블록 사상기법 [4, 5]를, 로그블록은 섹터 사상기법⑹을 사용한다.
따라서 복구가 불가능한 불순 삭제파일을 검색하고 복구하는 두 가지 실험을 하였다. 검색실험은 복구 대상 파일의 검색 개수와 불순 삭제파일의 검색 개수를 측정하였다. 이것은 불순 삭제 파일을 검출할 수 있는지 측정한다.
일단 불순 삭제 파일의 논리적 주소와 사상정보로 이전 데이터가 포함되는 영역을 검출한다. 그 후 사상정보로 최신 데이터의 위치를 추출하고 검출된 영역에서 3丄2절과 같이 대응되는 이전 데이터를 추적하여 복구한다.
이것은 본 기법이 어느 정도의 성능을 보이는지 측정한다. 그리고 실험대상이 일반적으로 발생하지 않는 불순 삭제파일이기 때문에 발생비율을 임의적으로 조정하여 실험하였다 삭제파일의 비율을 100%, 50%, 30%로, 불순 삭제 파일의 비율을 100%, 50%, 30%, 0%로 변경하며 실험하였다.
두 메타데이터를 비교하여 상이한 정보를 추출하여 복구대상 파일을 검색한다. 검색된 파일은 복구 대상 파일 리스트로 구성하여 복구에 필요한 파일명, 크기, 확장자,논리적주소 등의 정보를 유지하고 복구기에 전달된다.
해결하는 목표를 지닌다. 따라서 복구가 불가능한 불순 삭제파일을 검색하고 복구하는 두 가지 실험을 하였다. 검색실험은 복구 대상 파일의 검색 개수와 불순 삭제파일의 검색 개수를 측정하였다.
특징을 이용한다. 따라서 파일 검색 시에 이전 FAT 엔트리를 분석한다. FAT 엔트리가 연이어져 있지 않으면 해당 파일은 조각파일로 검색할 수 있다.
딸라서 이전 데이터의 위치를 추적해야 한다. 먼저 선택한 파일의 논리적 위치와 BAST FTL의 사상정보를 이용해 파일의 데이터가 데이터블록, 로그블록, 가비지 컬렉션 영역 중 어느 영역에 존재하는지 수집한다. 그 후에 최신 데이터의 위치를 추출하고 수집된 영역에서 대옹되는 이전 데이터의 위치를 추적한다.
이것은 불순 삭제 파일을 검출할 수 있는지 측정한다. 복구실험에서는 검색된 불순 삭제파일의 복구율을 측정하였다. 이것은 본 기법이 어느 정도의 성능을 보이는지 측정한다.
1 절에서 기술한 내용과 같이 하드디스크와 다른 특성이 존재하여 디스크기반 복구기법의 한계점을 해결할 수 있다. 본 논문은 플래시 메모리의 특성을 고려한 효율적인 플래시 메모리기반 복구기법을 제안한다’ 그림 7과 같이 제안하는 파일복구 시스템의 구조는 플래시 메모리, BAST FTL, FAT32와 검색기, 복구기로 구성된다. 플래시 메모리는 BAST FTL틀 사용함으로써 데이터블록과 로그블록과 가비지 컬렉터로세 영역이 존재한다.
그리고 조각파일의 경우 디스크 기반 복구기법에서 복구가 불가능한 이유는 FAT 엔트리가 손실되었기 때문이다. 본 논문의 3.3절과 같이 조각 파일의 검색방안에서 FAT 엔트리를 수집하여 FAT 엔트리를 알 수 있다. 따라서 수집된 FAT 엔트리에 해당하는 데이터를 복구한다.
보인다. 이것은 FAT32로 인해서 서로 다툰 특징을 지닌 파일, 데이터가 발생하기 때문이다, 본 논문은 이러한 파일을 구별하기 위해 네 가지로 분류한다. 첫 번째는 순수 삭제파일로 FAT32의 삭제처리인 메타데이터의 수정으로 데이터영역에 삭제파일이 잔존하는 파일이다.
이번 절에서는 효율적인 플래시 메모리기반 복구기법의 아이디어가 되는 FAT32와 BAST FTL의 사용으로 발생하는 특징들올 기술한다.
따라서 본 논문은 디렉토리스캐닝 기법을 플래시 메모리의 특성을 이용하여 변경하는 것을 제안한다. 제안하는 순수 삭제 파일콰 수정 파일의 검색방안은 241절과 같이 디렉토리 스캐닝 기법을 사용할 시 발생하는 디렉토리 엔트리가 덮어쓰인 경우의 한계점을 보안한다. 본래 기법이 검색하는 로그 블록뿐만 아니라 이전 메타데이터가 기록된 데이터 블록까지 검색하는 방안이다.
대상 데이터
사용하는 환경이다. 가상 플래시 메모리는 총용량이 32MB에 파일시스템으로 FAT32를 사용하고 4KB 클러스터로 설정하였다. 실험 데이터는 총 50개의 파일로 음악 파일, 사진파일, 문서파일이며 50개 파일의 총 크기는 32MB이다.
네 분류의 복구 대상. 파일은 모두 제자리 덮어쓰기가 발생하므로 모두 이전 메타데이터가 유지되고 최신 메타데이터가 기록된다.
우수함을 보인다. 비교대상은 디렉토리 스캐닝 기법을 사용하는 복구 프로그램과 디렉토리 스캐닝 기법과 섹터 스캐닝기법을 사용하는 상용프로그램 파이널 데이터 2.0 이다.
가상 플래시 메모리는 총용량이 32MB에 파일시스템으로 FAT32를 사용하고 4KB 클러스터로 설정하였다. 실험 데이터는 총 50개의 파일로 음악 파일, 사진파일, 문서파일이며 50개 파일의 총 크기는 32MB이다. 음악파일은 6개이고 파일크기는 365KB-2.
실험 환경은 플래시 메모리 시뮬레이터인 Flasimtll] 을 사용하는 환경이다. 가상 플래시 메모리는 총용량이 32MB에 파일시스템으로 FAT32를 사용하고 4KB 클러스터로 설정하였다.
실험 데이터는 총 50개의 파일로 음악 파일, 사진파일, 문서파일이며 50개 파일의 총 크기는 32MB이다. 음악파일은 6개이고 파일크기는 365KB-2.6MB사이이며 사진파일은 20개이고 46Ke~LMB샤이이며 문서파일은 24개이고 1KB~L2MB사이이다.
이론/모형
또 주소 사상을 위해 사상테이블(Mapping Table)을 관리한다. FTLe 사상방안이나 소거 연산의 회피방안에 따라 분류되며 본 논문은 연구기반으로 BAST FTL를 사용한다. BAST FTLe 데이터를 기록하기 위한 데이터블록과 다른 자리에 덮어쓰기를 하기 위한 공간인 로그블록으로 플래시 메모리의 블록을 나누어 사용한다.
BAST FTLe 데이터를 기록하기 위한 데이터블록과 다른 자리에 덮어쓰기를 하기 위한 공간인 로그블록으로 플래시 메모리의 블록을 나누어 사용한다. 데이터블록은 사상단위가 블록인 블록 사상기법 [4, 5]를, 로그블록은 섹터 사상기법⑹을 사용한다. 따라서 데이터블록을 사상하는 블록 사상테이블과 로그 블록을 사상하는 로그 사상테이블을 지닌다.
본 논문에서는 플래시 메모리상에서 불순 삭제파일을 검색, 복구하는 효율적안 플래시 메모리기반 복구기법을 제안했다. 디스크기반 복구기법과 다르게 본 기법은 bast FTL 을 이용하여 불순 삭제파일의 복구가 가능하다. 실험 결과, 본 기법으로 불순 삭제파일은 이전 메타데이터가 로그 블록에 존재하고 이전 데이터가 장치 내에 존재할 때 복구가 가능하다n 따라서 혼 기법은 기존 기법보다 우수하여 디지털 포렌식 수사에 도움을 줄 것을 기대한다.
병합작업은 로그 블록과 데이터블록에서 유효한 데이터만 취합하여 하나의 데이터블록으로 합치는 작업이다. 또한 본 논문의 연구기반인 BAST FTLe 무효한 데이터를 수집하는 가비지 컬렉터(Garbage Collector)[기를 사용한다.
성능/효과
따라서 클러스터 5번의 이전 데이터는 데이터 블록인 PBN 37번에 존재한다. 두 번째, 3丄2절의 그림 6 의 2번과 같이 클러스터 5번의 최신 데이터가 데이터 블록인 PBN 37번에 존재하면, 병합작업이 발생하였다. 따라서 클러스터 5번의 이전 데이터는 가비지 컬렉션 영역인 PBN 20번에 존재한다.
삭제비율이 50%, 30%인 장치에서 복구율이 25%, 100%로 측정되었다. 따라서 기존 기법보다 본 기법이 불순 삭제 파일 의복 구에서 우수하다는 것을 보여준다 하지만 그림 11과 특정 비율의 경우 불순 삭제파일의 복구를 실패하였다. 이 경우에 불순 삭제파일 크기의 총합이 8MB이상인 공통점을 발견하였다.
본 장에서는 효율적인 플래시 메모리기반 복구기법으로 복구 대상 파일을 복구하는 실험을 보여 디스크 기반복구기법보다 우수함을 보인다. 비교대상은 디렉토리 스캐닝 기법을 사용하는 복구 프로그램과 디렉토리 스캐닝 기법과 섹터 스캐닝기법을 사용하는 상용프로그램 파이널 데이터 2.
그림 11은 그림 10에서 검색된 불순 삭제 파일을 본 기법으로 복구한 결과를 측정한 것이다. 삭제비율이 50%, 30%인 장치에서 복구율이 25%, 100%로 측정되었다. 따라서 기존 기법보다 본 기법이 불순 삭제 파일 의복 구에서 우수하다는 것을 보여준다 하지만 그림 11과 특정 비율의 경우 불순 삭제파일의 복구를 실패하였다.
디스크기반 복구기법과 다르게 본 기법은 bast FTL 을 이용하여 불순 삭제파일의 복구가 가능하다. 실험 결과, 본 기법으로 불순 삭제파일은 이전 메타데이터가 로그 블록에 존재하고 이전 데이터가 장치 내에 존재할 때 복구가 가능하다n 따라서 혼 기법은 기존 기법보다 우수하여 디지털 포렌식 수사에 도움을 줄 것을 기대한다.
후속연구
향후 연구계획으로는 본 논문에서 효율적인 플래시메모리 기반 복구기법의 한계점인 가비지 컬렉터 영역에 이전 메타데이터가 존재할 때에도 불순 삭제파일의 데이터를 검색할 수 있도록 이전 메타데이터와 이전 데이터의 연관성을 계산하는 역추적 알고리즘을 고려하고 있으며 로그블록의 활용률이 높은 FTL 기법에 효율적인 플래시 메모리기반 복구기법을 적용하는 연구계획이 있다. 또한 복구에 적합한 FTL 기법의 연구도 고려하고 있다.
참고문헌 (11)
Intel Corporation, "Understanding the flash Translation layer(FTL) specification," http://www.intel.com.1998.
J. Kiln, J. M. Kim, S. H. Noh, S. L. Min, Y. Cho, "A Space-Efficient Flash Translation Layer for CompactFlash Systems," IEEE Translation on Consumer Electronics, vol.48, no.2, pp.366-375, 2002.
Samsung Electronics, "NAND Flash Spare Area Assignment Standard," http://www.samsung.com/. 2005.
A. Ban, "Flash file system optimized for page-mode flash technologies", United States Patent. no. 5,937,42, 1999.
T. Shinohara, "Flash memory card with block memory address arrangement," United States Patent, no. 5,905,993, 1999.
A. Ban, "Flash File System," United States Patent. no.5,404,485, 1995.
A Kawaguchi, S. Nishioka, H. Motoda, "A Flash-Memory based File System," Proceedings of 1995 USENIX Technical Conference, pp.155-164, 1995.
Microsoft Corporation, "FAT: General Overview of On-Disk Format," Version 1.02, May 5, 1999.
S. L. Garfinkel, "Carving contiguous and fragmented files with fast object validation," Digital Investigation, 2007.
G. G. Richard III, V Roussev, "Scalpel: A Frugal, High Performance File Carver," 2005 DFRWS Published by Citeseer, 2005.
H. Y. Choe, S. H. Kim, S. W. Lee, S. W. Park. "FlaSim : A FTL Memory Emulator using Linux Kernel Modules," Journal of KIISE : Computing Practices and Letters, vol.15, no. 11, pp.836-840, Nov.2009. (in Korean)
※ AI-Helper는 부적절한 답변을 할 수 있습니다.