디지털 포렌식을 하는 데 있어 메모리와 저장장치는 거의 모든 검사에서 중추적인 역할을 한다.
반면에 프로세서나 CPU는 거의 도움이 되지 않는다.
이제부터 기본적인 컴퓨터 환경에 대해 광범위하게 살펴보자..!
<수의 체계>
컴퓨터에서는 모든 것이 1과 0으로 이루어져 있다. 컴퓨터는 바이너리라고 불리는 2진수 언어를 사용한다.
각 1과 0을 비트라고 부른다.
사람들은 10진수라는 것을 사용하는데 , 10진수는 0에서 9까지의 숫자를 사용한다.
컴퓨터는 더 신속하게 계산하기 위해 비트 여러 개를 모아서 작업을 한다. 이러한 비트가 여러 개 모인 것을 바이트 라고 부른다.
이 바이트라는것은 8개의 비트로 이루어져 있으며 10110101과 같이 표현되는것이 바이트이다.
2진수를 좀 더 읽기 쉽게 해주는 방법은 바로 헥사데시멀(hexadecimal) 이다.
<헥사데시멀>
헥사데시멀 또는 헥스는 16진수로 바이너리를 좀 더 편하게 표시할 수 있는 방법이다.
16진수는 숫자 0부터 9까지 그리고 문자 A부터 F까지 사용해서 나타낸다.
<ASCII와 유니코드>
어떻게 1과 0들이 A와 B로 표시되는걸까 ?? 컴퓨터는 인코딩을 사용하여 바이너리를 사람이 읽을 수 있는 문자로 변환한다.
인코딩 방법에는 두가지가 있다. 첫번째는 ASCII , 두번째는 유니코드이다.
ASCII 는 영어를 표시하기 위해 사용하는 인코딩 방법이다. ASCII는 128개의 문자를 정의하며 이 중에서 94개의 문자만이 실제로 출력될 수 있다.
유니코드는 전 세계의 모든 언어를 표시하기 위해 사용되며 수천 개의 문자로 이루어져 있다.
여러 상황을 보면 조사관은 "비트", "바이트" 수준에서 데이터를 살펴보고 증거를 검색, 축출 및 해석해야 하는 경우가 많다. 이러한 상황은 카빙이라고 불리는 프로세스에서 가장 명확하게 드러난다.
파일 카빙은 할당되지 않은 공간처럼 특정한 형태가 없는 데이터를 바탕으로 파일의 위치를 확인하고 복원하기 위해 사용한다.
파일 카빙을 좀 더 쉽게 말하자면 파일의 시그니처랑 푸터를 확인하면서 파일을 일일히 복구하는 작업이라고 말할 수 있다.
'Forensic > The Basics' 카테고리의 다른 글
| 기초 (0) | 2019.05.14 |
|---|---|
| FTK Imager (0) | 2019.05.11 |
| Hxd Editor (0) | 2019.05.11 |
| Hxd Editor (0) | 2019.05.10 |
| 디지털 포렌식을 공부하기 전에.. (0) | 2019.04.30 |