Field of technology
PC 포렌식
HDD 포렌식
각 부품과 컴퓨터의 운영체제에
해당되는 펌웨어와 주요 펌웨어의
손상 시 장애를 발생합니다.
하드디스크란 자성체로 코팅된 알루미늄 원판에 자료를 저장할 수 있도록 만든 자기저장체입니다. PCB, 모터, 플래터 등의 하드웨어와 펌웨어로 구성되어있습니다. PCB는 하드디스크의 작동을 제어하며 모터는 플래터의 회전을 헤더는 플래터로부터 자료를 읽고 쓰는 작업을 합니다. 하드디스크는 물리적인 요소인 각 부품과 컴퓨터의 운영체제에 해당되는 펌웨어가 있으며 주요 펌웨어의 손상이 발생하는 경우에도 하드디스크의 작동에 장애를 발생시키기도 합니다.
Field of technology
PC 포렌식
하드디스크란 자성체로 코팅된 알루미늄 원판에 자료를 저장할 수 있도록 만든 자기저장체입니다.
PCB, 모터, 플래터 등의 하드웨어와 펌웨어로 구성되어있습니다. PCB는 하드디스크의 작동을 제어하며 모터는 플래터의
회전을 헤더는 플래터로부터 자료를 읽고 쓰는 작업을 합니다. 하드디스크는 물리적인 요소인 각 부품과 컴퓨터의 운영체제에
해당되는 펌웨어가 있으며 주요 펌웨어의 손상이 발생하는 경우에도 하드디스크의 작동에 장애를 발생시키기도 합니다.
파티션 삭제란 MBR 영역의 파티션 관련 정보를 지우는 작업입니다. 사용자의 데이터는 아무 영향을 받지 않고 삭제된 파티션 관련 정보만 다시 살려내면 정상적인 데이터 접근이 가능합니다. 파티션을 삭제하면 해당 파티션에 접근이 불가하기 때문에 당황하기 쉬운데 DIY 복구가 가능한 가벼운 장애증상입니다. 상용 복구툴 중 파티션 복구 기능을 지원하는 툴을 사용하시면 쉽게 원상복구가 가능합니다.
파일이나 폴더를 삭제한 경우 파일 시스템에 따라 내부 처리 과정이 다르기 때문에 NTFS 을 기준으로 보면 파일 관리에 관한 레코드의 정보를 삭제됨으로 표시하고 비트맵에서 해당 클러스터를 "사용 안 함" 으로 표시합니다. 새로운 자료를 저장되는 시점에 "사용 안 함" 으로 표시된 영역을 새로운 자료에 할당하게 됩니다. 즉 파일이나 폴더 삭제시 새로운 자료를 저장하는 것이 치명적일 수 있기 때문에 조심해야 합니다. DIY 복구를 해보시는 경우에도 절대 복구된 자료를 원본에 저장해서는 안 됩니다. 또한 DIY 복구작업 중 매체접근이 늦거나 CRC 오류가 발생한다면 작업을 중단하고 복구전문업체에 의뢰하시는 것이 바람직합니다.
파일이나 폴더 접근시 늦어지거나 부팅 속도가 정상적이지 않는 경우 매체에 배드섹터가 있을 가능성이 높습니다. 논리적 배드섹터는 매체의 플래터에 영향을 주진 않지만 물리적인 배드섹터의 경우에는 플래터를 손상시키고 점차 배드 영역이 전 영역으로 퍼질 수 있어 결국 데이터복구가 불가능한 상황이 발생될 수 있습니다. 이런 경우에는 전원인가를 자재하시고 데이터를 복구해야 하는 상황이라면 배드 체크 프로그램 사용을 피하는 것이 좋습니다. 배드섹터가 있는 경우에는 배드섹터를 처리할 수 있는 복제 장비를 이용해서 복구작업을 진행해야 하기 때문에 복구 전문 업체에 의뢰하셔야 합니다.
컴퓨터 사용시 늦어지거나 오작동이 잦은 경우 포맷을 하거나 운영체제를 재설치 하는 경우가 많이 있습니다. 반드시 포맷이나 운영체제 재설치 전에는 자료를 다른 매체로 백업을 하고 백업된 자료는 철저히 확인을 해서 백업이 안된 자료는 없는지 체크를 해야 합니다. 만일 백업이 정상적으로 되지 않거나 오류가 발생한 경우나 백업이 안된 상태에서 포맷 또는 운영체제를 설치한 경우 복구과정이 복잡하기 때문에 전문복구업체에 의뢰하시기 바랍니다.
하드디스크에 전원인가 시 클릭킹 소음이 발생하는 경우에는 헤더 손상이 발생한 경우가 대부분이기 때문에 전원인가를 피하시기 바랍니다. 특히 매체에 충격이 발생한 경우에는 헤더의 외손(틀어짐)이 발생한 경우가 많기 때문에 전원인가를 하게 되면 플래터에 치명적인 손상을 줄 수 있습니다. 헤더 소음은 헤더가 플래터의 안쪽에서 바깥쪽으로 반복해서 움직이기 때문에 상하좌우 진동을 하게 되면 장시간 방치할 경우 플래터의 표면을 회복 불능 상태로 악화시킵니다. 동 증상의 경우 반드시 복구전문업체에 의뢰하시기 바랍니다.
과전류로 인해 PCB의 소자가 타버린 경우 전원인가를 하더라도 반응이 없습니다. 이런 경우 동일 버전의 PCB를 이용해서 복구 하는 방법이 있으나 PCB 에는 롬이라는 소자가 있어 상호 호환이 안되는 경우가 많습니다. 단순 PCB 손상의 경우 복구 과정이 어렵지 않으나 과전류로 인해 PCB 가 손상된 경우 매체 내부 소자(헤더, 모터코일)를 동시에 손상되는 예도 많이 있습니다. 다양한 하드디스크 자재와 PCB의 상태를 정확하게 체크할 수 있는 복구전문업체에 의뢰하시기 바랍니다.
매체가 침수로 인해 물속에 잠긴 경우 두 가지 상황이 발생합니다. PCB 만 젖은 경우와 PCB 및 하드디스크 내부에 습기가 들어간 경우입니다. PCB만 젖은 경우에는 건조 후 전원인가를 하게 되면 정상적으로 작동하는 경우가 있으나 하드디스크 내부에 습기가 들어간 경우에는 내부 건조작업이 필요합니다. 어느 경우에 해당이 되는지는 먼저 매체를 오픈해서 플래터 상태를 확인하고 이상이 없는 경우 PCB 건조작업을 진행합니다. 매체 내부 건조작업은 청정 환경에서 이루어져야 하기 때문에 설비를 갖춘 업체에 의뢰하셔야 합니다.
화재의 경우에는 PCB의 소자가 타고 내부 소자가 열에 의해 변형됩니다. 심한 경우 플래터의 자성막 자체가 파괴되는 경우도 있습니다. 플래터의 자성막이 변성되는 경우 정도에 따라 플래터 클린 작업이 가능한 경우도 있지만 장기간 열에 노출된 경우에는 변성 정도가 심하여 복구 불가능한 상태일 수도 있습니다. 동 증상의 경우 역시 청정 환경에서 작업이 이루어져야 하기 때문에 반드시 클린 설비를 갖춘 업체에 복구를 의뢰하셔야 합니다.
전원인가 상태에서 충격이 발생한 경우에는 헤더외손(틀어짐)과 플래터 손상, 모터 손상을 동반합니다. 전원 미인가 상태에서 충격은 헤더 손상만 발생하는 경우가 많습니다. 충격이 발생한 경우에는 절대 전원인가를 해서는 안 됩니다. 먼저 디스크 내부의 상태, 즉 헤더외손 정도를 파악하고 정도가 심한 경우에는 정상 헤더로 교환하여 복구작업을 진행하며 복합 손상인 경우 특히 모터 손상이 있는 경우에는 플래터를 다른 매체로 이관하여 복구작업을 진행해야 합니다. 복구 과정이 난해하기 때문에 반드시 전문업체에 의뢰하여야 합니다.
배드섹터 체크 프로그램은 매체에 복구해야 할 자료가 있는 경우에는 절대 사용해는는 안 됩니다. 논리적인 배드인 경우 매체 내의 자료를 변형시킬 수 있고 물리적인 배드인 경우에는 배드섹터 영역이 전체 영역으로 퍼질 수 있습니다. 물리적인 배드가 있는 매체를 장시간 체크한 경우 플래터 스크래치가 심각하게 발생한 예도 많이 확인되고 있습니다. 배드가 있는 매체의 자료를 복구하고자 하는 경우에는 전원인가를 자래하고 복구업체에 의뢰하시기 바랍니다.
상호명 케이포렌식 부천센터 | 대표자 선진호 | 사업자 등록번호 466-01-02700
주소 경기도 부천시 상일로120 송내리더스텔509호 | Tel 032-329-2683
운영시간 10:00~19:00(월~토요일 운영) | 점심시간 12:00~13:00
Copyright ⓒ 2024 케이포렌식 부천센터 All rights reserved.
국내 단 1명 뿐인 대법원 특수감정인이 증거법에 의거하여 디지털 증거를 수집 및 분석하여 법적 효력으로 인정받을 수 있습니다.
이 사이트는 ㈜케이포렌식에서
인증한 공식사이트입니다.