-id : 원본과 완전히 동일한 복제 디스크 만들기

* 예제는 64비트 고스트를 통해 작업하였습니다. 16비트, 32비트 고스트도 명령은 동일합니다.
* 16비트 고스트 = Ghost.exe     * 32비트 고스트 = Ghost32.exe     * 64비트 고스트 = Ghost64.exe

증거 내놔! 후달리면 뒈지시던가?


아래와 같은 디스크가 있습니다.



해당 디스크는 어떠한 사건의 매우 중요한 증거 자료라고 가정해보겠습니다. 그렇다면 이 디스크는 어디서부터 어디까지가 증거로써의 의미를 가질까요? 이건 두말할 것도 없이 '디스크 전체' 죠. 그래서 해당 디스크의 일반적인 파티션 데이터 영역 뿐만 아니라 저 2GB 의 할당되지 않은 영역은 물론 디스크의 모든 데이터가 싸그리 증거가 됩니다. 실제로 저런 할당되지 않은 영역에도 미처 삭제되지 못한 데이터가 포함되어 있을 수도 있는 것이니까요.


부트 트랙 영역과(위) 할당되지 않은 영역에 기록한 데이터의 모습(아래)


이걸 그대로 뜯어서 가지고 가면 좋겠지만 그러기엔 좀 위험 부담도 있고, 그래서 이것과 동일한 사본을 만들어서 해당 사본을 제출할 겁니다. 이럴 땐 어떻게 백업하거나 복사를 해야 할까요?

동일한 데이터를 가진 사본을 만들어서 사본을 증거로 제출할 예정


지난 글에서 -ia 스위치를 통해 섹터 바이 섹터 복사를 진행하면 원본의 섹터 하나까지 그대로 복제한 복제품을 만들 수 있다는 것을 알았습니다. 그럼 -ia 스위치를 통해서 작업을 진행하면 될까요? 일단 해당 글에서 마지막에 간단하게 이야기를 했지만 한 번 직접 -ia 스위치를 통해 복제품을 만들어보죠.

ghost64 -clone,mode=copy,src=7,dst=8 -sure -fx -ia



장인 줄 알고 뒤집었건만 사쿠라가 뜬 상황


-ia 스위치로 디스크 복사를 진행하는 경우에는 부트 트랙 나머지 영역과 할당되지 않은 영역은 작업에서 제외되기 때문에 해당 데이터들이 온전하게 복사가 되지 못한 것을 알 수 있습니다. 부트 트랙은 그렇다고 치더라도 할당되지 않은 영역의 저 데이터가 정말 중요한 걸 수도 있는데 이러면 안 되죠.


그래서 이러한 경우처럼 완벽한 디스크 사본이 필요할 때는 -id 스위치를 사용해야 합니다.

ghost64 -clone,mode=copy,src=7,dst=8 -sure -fx -id



장이다!


그러면 보시는 것과 같이 부트 트랙 영역은 물론 할당되지 않은 영역의 데이터들까지 완벽하게 복사가 이루어진 것을 확인할 수 있습니다. 단! 기본적으로 보시는 것과 같이 -id 스위치를 사용하더라도 디스크 서명은 초기화되기 때문에 디스크 서명까지 복제하는 좀 더 완벽한 복제를 원한다면 -fdsp 스위치도 함께 적용해줘야 합니다. 물론 그 후에 해당 디스크는 같은 시스템 내에서 연결을 하면 안 되겠죠. 대충 -id 스위치가 무엇인지 아시겠죠?


한 가지 주의하실 점이라면 -id 스위치를 통해 복사를 진행하는 경우에는 대상 디스크가 반드시 원본보다 조금이라도 커야 합니다. 만약에 원본보다 조금이라도 작거나 완전히 똑같은 용량을 가진 대상 디스크로 복사를 진행하는 경우 아래와 같이 대상의 크기가 작다며 작업이 실패하게 됩니다. [100% 동일한 크기일 경우 복원은 괜찮던데 복사만 그러더군요.]

대상 디스크의 크기가 원본보다 작다며 작업이 거부되는 모습.

* 100% 동일한 크기의 디스크는 VHD 가상 디스크를 하나 만들고, 그렇게 만들어진 VHD 파일 자체를 복사하는 방식으로 완전히 똑같은 디스크를 만든 후 테스트를 진행하였습니다. 일반적으로 시중에 판매되는 디스크들은 동일한 용량이더라도 제조사나 모델에 따라 미세하게 용량 차이가 나는 경우가 많습니다.


대상의 크기가 더 작을 때는 이해가 되는데, 100% 정확하게 똑같은 크기를 가진 디스크에서 복사 작업이 실패하는 건 왜 그러한 것인지 모르겠습니다. 아무튼 -id 스위치는 이와 같은 Forensic 용 백업 이미지나 사본을 만들 때 사용되는 스위치라는 것만 기억하시면 될 듯 합니다. 뭐 그 외에도 100% 동일한 사본이나, 할당되지 않은 영역 등의 데이터들이 필요할 때도 사용할 수 있겠죠.

참고로 -id 스위치는 오직 디스크 작업에서만 사용되는 스위치입니다. 100% 동일한 파티션 사본을 원한다면 -ia 스위치 만으로도 작업을 진행할 수 있죠. 뭐 그렇습니다. 이상입니다.


참고로 이런 식으로 복사해도 증거가 되지 못한다. 이건 그냥...... 에휴......



 

 

신고
캐플 블로그에 공개된 글은 반드시 원본 글의 링크를 포함시키는 조건으로 자유롭게 이용하실 수 있습니다.
하지만 블로그의 발전을 위하여 되도록이면 링크로 글을 소개해주시길 부탁드립니다. ^^

- 상업적인 용도의 사이트는 대상에서 제외됩니다. -
- 글에는 오류가 있을 수 있고, 추후 수정 또는 재발행될 수 있습니다. -
  1. 돌산 2012.11.21 15:57 신고  댓글주소  수정/삭제  댓글쓰기
    예전의 스위치 정리표에서 forensic 이라는 표현을 보았을 때, 단어 그 자체만의 뜻으로만 이해가 되었고 구체적으로 어떤 의미인지는 잘 몰랐는데 오늘 보니 분명하게 그 의미를 알게 되었습니다.물론 일반적인 컴 생활에서야 사용할 일은 없을 테지만 그래도 고스트를 배우면서 관련 스위치를 확실하게 배우는 것도 좋은 일이겠지요...

댓글을 달아 주세요

- 댓글에선 예의를 지켜주시기 바라며, 블로그지기는 댓글에서 따로 활동하지 않습니다.

* 티스토리 사용자는 여기를 클릭하시면 로그인 됩니다.

BBCode 안내   굵게 밑줄 기울임 취소선   취소선 취소선 취소선 취소선   왼쪽 정렬 가운데 정렬 오른쪽 정렬   코드박스 인용구 이미지   이미지 업로드-Imgur.com