기초

데이터의 표현

우리가 쓰는 컴퓨터는 0과 1을 사용하고 있다. 

 

데이터의 물리적 단위

실제로 사용 중인 물리적 장치에서 저장될 때 사용되는 단위로는 Bit가 최소단위로 사용된다.

최근 저장 장치가 발달하면서 용량이 증가하여 기가바이트 단위가 주로 사용된다.

 

물리적 단위

비트 :

binary digit의 약자

최소단위

0과 1로 이루어짐

쿼터 : 2bit

니블 : 4bit

바이트 : 8bit

워드 : 16bit

더블 워드 : 32bit

쿼드 워드 :64bit

 

데이터의 논리적 단위

디스크에 어떠한 집합체로 저장되는 것을 논리적 단위로 볼 수 있다. 이러한 특성 때문에 논리적 단위는 정보를 저장 및 처리하는데 사용한다. 논리적 단위의 내부는 물리적 단위로 구성되므로 물리적 단위에 대한 이해가 있어야 포렌식 분석에서 논리적 단위의 내부를 파악할 수 있다.

 

논리적 단위

필드 : 

여러 개의 byte나 워드가 모여 이루어짐

파일 구성의 최소단위

레코드(논리적 레코드) : 프로그램 내의 자료 처리 기본 단위

블록(물리적 레코드) : 저장 매체에 입출력될 때의 기본 단위

파일 : 관련된 레코드의 집합으로 하나의 프로그램 처리 단위

데이터 베이스 : 집합으로 계층적 구조를 갖는 자료 단위

 

빅 엔디안 과 리틀 엔디안

저장 장치에 저장될 때 크게 두가지의 방식으로 저장된다. 

 

리틀 엔디안

ex ) 0A0B0C0D -> 0D0C0B0A

 

빅엔디안

ex ) 0A0B0C0D -> 0A0B0C0D

 

빅 엔디안을 사용하는 시스템 : 마이크로프로세서, 네트워크상 통신 등등

리틀 엔디안을 사용하는 시스템 : 인텔 프로세서, 알파 프로세서 등등

 

빅 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다.

-> 0x5EA1

 

리틀 엔디안 계산 방식 :

01011110 10100001 -> 숫자를 4개씩 끊어서 16진수로 바꿔 읽는다. 리틀 엔디안은 뒤에서부터 읽어준다.

-> 0xA15E

-> 10100001 01011110

 

시간 정보

시간 정보는 사건이 발생한 시점에 대한 행위를 파악할 수 있는 중요한 정보이므로 디지털 포렌식 관점에서 매우 중요한 정보이다. 또한, 분석 때에는 현지시각의 정보로 변환하여 분석하여야 한다. 

 

1) GMT

영국 런던에 있는 그리니치 천문대를 기준으로 한 평균 태양시이다.

서울은 동경 127도 표준 자오선을 가지지만, 시간은 동경 135도인 일본 표준시 JST를 사용하고 있다. 따라서, 현재 서울의 시간은 GMT + 9시간을 사용 중이다.

 

2) UTC

1972년 1월 1일 세계 표준시로 규정되었다. 

원자시를 사용하기 때문에 자전 주기와 무관하다. 따라서, 시간이 흘러도 시간이 변할 가능성은 거의 없게 된다. 

서울은 UTC + 9시간을 사용한다.

 

시간 정보 표현방식

1. MS-DOS Date / Time : 날짜와 시간을 각각 2byte씩 할당되어 총 4byte로 저장하는 방식으로 시간정보의 범위가 제한적이다.

시작시간 : 1980년 01월 01년 (00 : 21 : 00 : 00)

종료시간 : 2107년 12월 31일 23:59:58 (FF : 9F : BF : 7D)