사이버 포렌식 데이터 저장 형식 3가지

사이버 포렌식 데이터 저장 형식 3가지

 

 

포렌식 수집 도구의 데이터는 이미지 파일로 저장되는데 3가지 형식이 있습니다.

1. Raw format (원시 형식)

2. Proprietary formats ( 독점 형식 : 예) E01, .AD1 등)

3. Advanced Forensics Format (AFF : 고급 포렌식 형식)

 

장단점

1. Raw format (원시 형식)

- 비트 스트림 데이터를 파일에 쓸 수 있음.

장점 :

- 빠른 데이터 변환이 가능함

- 소스 드라이브의 사소한 데이터 읽기 오류를 무시함

- 대부분의 컴퓨터 포렌식 도구는 원시 형식을 읽을 수 있음

단점 :

- 원본 디스크 또는 데이터만큼 많은 스토리지가 필요함

- 도구가 한계(불량) 섹터를 수집하지 못할 수 있음

 

2. Proprietary Formats (독점 형식)

- 대부분의 포렌식 도구는 고유 형식을 사용함.

제공되는 기능 :

- 이미지 파일을 압축하거나 압축하지 않는 옵션

- 이미지를 더 작은 세그먼트 파일로 분할 가능함

- 메타 데이터를 이미지 파일에 통합 가능함

단점 :

- 상이한(서로 다른) 툴 사이에 이미지를 공유 할 수 없음

- 각 세그먼트 볼륨에 대한 파일 크기 제한

Expert Witness 형식은 비공식 표준임.

 

 

3. Advanced Forensics Format (AFF : 고급 포렌식 형식)

- Simson L. Garfinkel 박사가 오픈 소스 수집 형식으로 개발

설계 목표 :

- 압축 또는 비압축 이미지 파일 제공함

- 디스크-이미지 파일에 대한 크기 제한 없음

- 메타 데이터를 위해 이미지 파일 또는 세그먼트 파일에 공간 제공함

- 확장성을 고려한 단순한 설계임

- 다중 플랫폼과 OS를 위한 오픈 소스임

- 자체 인증을 위한 내부 일관성 검사를 실시함