search

제로 필 - jelo pil

1 년도s ~ 전에
코멘트: 0
견해: 83

윈도우10에서 안티 포렌식을 위해 일반 포맷을 했을 때 제로필(00)의 능력을 검증해 본다.

이전 포스트에서 빠른 포맷과 일반 포맷의 차이점 및 복구에 대해 알아 보았다.

https://m.blog.naver.com/kangyh5/222021518929

즉, 빠른 포맷은 파일 시스템을 새롭게 구축함으로써 데이터를 삭제하는 효과를 얻을 수 있었으며, 일반 포맷은 파일 시스템을 새롭게 구축함과 동시에 데이터를 직접 제로필(00)하였다.

즉, 윈도우10에서 일반 포맷을 수행했을 때 제로필(Zerofill)을 하게 되는데, 그럼 이 제로필이 실제 얼마나 완벽하게 제로필(00)을 하는지 알아 본다. 즉, 안티 포렌식을 위해 일반 포맷을 했을 때, 데이터 저장 영역의 전체를 얼마나 구서구석 빠짐없이 제로필(00)을 수행하는지 검증해 본다.

먼저 SD 카드(2GB)에 임의의 파일을 최대한 꽉꽉 채우고, 일반 포맷을 수행한다. 포맷 후에 HxD를 실행하여, 데이터 저장 영역의 헥사 데이터가 모두 “00”으로 바뀌었는지를 확인해 본다.

1. 데이터 복사하기

2GB SD 카드(E:)에 아무 파일이나 복/붙하여, 미디어가 꽉꽉 차도록 최대한 많은 데이터을 채워 넣는다.

여기서 용량이 1.86GB인 SD 카드(E:)에 임의의 파일을 복/붙하고, 사용 중인 공간을 1.81GB로 만들어 데이터 저장 영역에 데이터를 거의 꽉꽉 채워 넣었다.

2. HxD로 데이터 확인하기

1) 헥사 편집기

헥사 편집기 HxDSetup 파일을 다운로드하여, 압축을 풀고, HxD를 설치한다.

2) 헥사 데이터 확인하기

HxD를 실행하여 현재 SD 카드의 헥사 데이터를 확인해 본다. 헥사 데이터 "FF"는 파일 데이터의 헥사값 중 가장 흔히 나타나는 헥사값이기 때문에 데이터 저장 영역의 마지막 "FF" 값의 위치를 확인하여 헥사값이 채워져 있는 마지막 섹터를 알아 본다.

여기서 데이터 저장 영역의 마지막 "FF" 값이 섹터 3808273의 바로 위에 존재하는 것을 확인할 수 있다. 그외에 다른 헥사 데이터 값들도 보인다. 사실 이 SD 카드의 마지막 섹터는 3912447이지만, 섹터 3808273까지 데이터가 채워져 있으면 거의 데이터가 꽉 찼다고 볼 수 있다.

3. 일반 포맷 수행하기

이제 SD 카드(E:)를 일반 포맷을 하여 제로필을 수행해 본다.

일반 포맷이 완료되면 다시 HxD를 실행하여 제로필이 얼마나 채워졌는지 확인해 본다.

4. 일반 포맷 후 HxD로 제로필 확인하기

1) HxD를 관리자 권한으로 실행하고, SD 카드를 선택하여 데이터 영역의 제로필을 확인해 본다.

SD 카드의 마지막 섹터는 3912447이다. 마지막 섹터에 커서를 두고 상단 메뉴에서 [찾기]를 클릭하여 팝업창이 생성되면, 아래와 같이 설정하여 검색을 수행한다.

• 검색 : FF

• 데이터 형식 : 16 진수 값

• 검색 방향 : 뒤로

2) 그러면 데이터 저장 영역의 마지막 "FF"값을 찾을 수 있으며, 여기서는 섹터 8200에 마지막 "FF"값이 검색되었다.

섹터 8200은 데이터 저장 영역이 아니라 파일 시스템 영역이다. 즉 SD 카드는 일반 포맷을 수행하므로써 데이터 저장 영역에 헥사값들이 모두 제로필(00)로 채어진 것을 알 수 있다.

결론적으로 윈도우10에서 일반 포맷을 수행하면 데이터 저장 영역이 제로필(00)로 채워지므로 디지털 포렌식으로 데이터를 복구할 수 없다.

3) 데이터 완전 삭제하기

일반 포맷을 수행한 후에도 혹시나 보안이 우려된다면 파일 시스템을 변경하여 다시 한번 일반 포맷을 수행한다.

파일 시스템까지 변경하여 한번 더 일반 포맷을 수행한다면, 데이터 저장 영역의 데이터가 한번 더 삭제되는 것은 물론이며, 파일 시스템도 변경되므로 복구 프로그램으로 데이터를 복구하기는 매우 어려워진다.

여기서는 처음에 파일 시스템을 “FAT32”로 일반 포맷을 수행한 후에, 다시 파일 시스템을 “NTFS”로 변경하여 한번 더 일반 포맷을 수행한 것이다.

위와 같이 윈도우10에서 일반 포맷을 수행한 후에, 파일 시스템을 변경하여 한번 더 일반 포맷을 수행하면 보안 우려없이 미디어에 담긴 전체 데이터를 완벽하게 삭제할 수 있다.

파일 시스템을 변경하여 일반 포맷을 2번 수행하는 작업은 안전한 안티 포렌식의 방법 중 하나가 될 수 있다.

스마트폰 제로필 ssd 제로필 USB 제로 필 제로필 포렌식 제로필 복구 노트북 제로 필 HDD 제로 필

관련 게시물

C to hdmi 다이 소 - c to hdmi dai so
C to hdmi 다이 소 - c to hdmi dai so

휴대폰에서 공인인증서 가져오기 - hyudaepon-eseo gong-in-injeungseo gajyeoogi
휴대폰에서 공인인증서 가져오기 - hyudaepon-eseo gong-in-injeungseo gajyeoogi

휴대폰 온도 가 너무 높습니다 - hyudaepon ondo ga neomu nopseubnida
휴대폰 온도 가 너무 높습니다 - hyudaepon ondo ga neomu nopseubnida

광고하는

최근 소식

63빌딩 홈페이지 - 63bilding hompeiji
1 년도s ~ 전에 . ~에 의해 HurtParliament
네이버 우클릭 금지 사진 다운 - neibeo ukeullig geumji sajin daun
1 년도s ~ 전에 . ~에 의해 FavorableTreadmill
ATEN KVM 스위치 단축키 - ATEN KVM seuwichi danchugki
1 년도s ~ 전에 . ~에 의해 FledglingIntolerance
암호화 키 교환 - amhohwa ki gyohwan
1 년도s ~ 전에 . ~에 의해 OrganizationalCaught
웰다잉 프로그램계획서 - weldaing peulogeulaemgyehoegseo
1 년도s ~ 전에 . ~에 의해 FamilialRationality
에어팟 프로 셀라스텍 - eeopas peulo sellaseuteg
1 년도s ~ 전에 . ~에 의해 HaughtyAssignment
원 앤드 원 쇼핑 - won aendeu won syoping
1 년도s ~ 전에 . ~에 의해 NormalStorey
지효 야짤 - jihyo yajjal
1 년도s ~ 전에 . ~에 의해 DarkeningComedian
밥 뚜껑 안열릴때 - bab ttukkeong an-yeollilttae
1 년도s ~ 전에 . ~에 의해 RestlessRedemption
돌체구스토 스타벅스 캡슐 호환 - dolcheguseuto seutabeogseu kaebsyul hohwan
1 년도s ~ 전에 . ~에 의해 AntisepticHeadset

광고하는

포퓰러

광고하는

에 대한

합법적인

돕다

사회의

homeendefrjpkoptzhhiitth
저작권 © 2024 kofrojeostern Inc.