-id : 원본과 완전히 동일한 복제 디스크 만들기
* 예제는 64비트 고스트를 통해 작업하였습니다. 16비트, 32비트 고스트도 명령은 동일합니다.
* 16비트 고스트 = Ghost.exe * 32비트 고스트 = Ghost32.exe * 64비트 고스트 = Ghost64.exe
* 16비트 고스트 = Ghost.exe * 32비트 고스트 = Ghost32.exe * 64비트 고스트 = Ghost64.exe
증거 내놔! 후달리면 뒈지시던가?
아래와 같은 디스크가 있습니다.
해당 디스크는 어떠한 사건의 매우 중요한 증거 자료라고 가정해보겠습니다. 그렇다면 이 디스크는 어디서부터 어디까지가 증거로써의 의미를 가질까요? 이건 두말할 것도 없이 '디스크 전체' 죠. 그래서 해당 디스크의 일반적인 파티션 데이터 영역 뿐만 아니라 저 2GB 의 할당되지 않은 영역은 물론 디스크의 모든 데이터가 싸그리 증거가 됩니다. 실제로 저런 할당되지 않은 영역에도 미처 삭제되지 못한 데이터가 포함되어 있을 수도 있는 것이니까요.
부트 트랙 영역과(위) 할당되지 않은 영역에 기록한 데이터의 모습(아래)
이걸 그대로 뜯어서 가지고 가면 좋겠지만 그러기엔 좀 위험 부담도 있고, 그래서 이것과 동일한 사본을 만들어서 해당 사본을 제출할 겁니다. 이럴 땐 어떻게 백업하거나 복사를 해야 할까요?
동일한 데이터를 가진 사본을 만들어서 사본을 증거로 제출할 예정
지난 글에서 -ia 스위치를 통해 섹터 바이 섹터 복사를 진행하면 원본의 섹터 하나까지 그대로 복제한 복제품을 만들 수 있다는 것을 알았습니다. 그럼 -ia 스위치를 통해서 작업을 진행하면 될까요? 일단 해당 글에서 마지막에 간단하게 이야기를 했지만 한 번 직접 -ia 스위치를 통해 복제품을 만들어보죠.
ghost64 -clone,mode=copy,src=7,dst=8 -sure -fx -ia
장인 줄 알고 뒤집었건만 사쿠라가 뜬 상황
-ia 스위치로 디스크 복사를 진행하는 경우에는 부트 트랙 나머지 영역과 할당되지 않은 영역은 작업에서 제외되기 때문에 해당 데이터들이 온전하게 복사가 되지 못한 것을 알 수 있습니다. 부트 트랙은 그렇다고 치더라도 할당되지 않은 영역의 저 데이터가 정말 중요한 걸 수도 있는데 이러면 안 되죠.
그래서 이러한 경우처럼 완벽한 디스크 사본이 필요할 때는 -id 스위치를 사용해야 합니다.
ghost64 -clone,mode=copy,src=7,dst=8 -sure -fx -id
장이다!
그러면 보시는 것과 같이 부트 트랙 영역은 물론 할당되지 않은 영역의 데이터들까지 완벽하게 복사가 이루어진 것을 확인할 수 있습니다. 단! 기본적으로 보시는 것과 같이 -id 스위치를 사용하더라도 디스크 서명은 초기화되기 때문에 디스크 서명까지 복제하는 좀 더 완벽한 복제를 원한다면 -fdsp 스위치도 함께 적용해줘야 합니다. 물론 그 후에 해당 디스크는 같은 시스템 내에서 연결을 하면 안 되겠죠. 대충 -id 스위치가 무엇인지 아시겠죠?
한 가지 주의하실 점이라면 -id 스위치를 통해 복사를 진행하는 경우에는 대상 디스크가 반드시 원본보다 조금이라도 커야 합니다. 만약에 원본보다 조금이라도 작거나 완전히 똑같은 용량을 가진 대상 디스크로 복사를 진행하는 경우 아래와 같이 대상의 크기가 작다며 작업이 실패하게 됩니다. [100% 동일한 크기일 경우 복원은 괜찮던데 복사만 그러더군요.]
대상 디스크의 크기가 원본보다 작다며 작업이 거부되는 모습.
* 100% 동일한 크기의 디스크는 VHD 가상 디스크를 하나 만들고, 그렇게 만들어진 VHD 파일 자체를 복사하는 방식으로 완전히 똑같은 디스크를 만든 후 테스트를 진행하였습니다. 일반적으로 시중에 판매되는 디스크들은 동일한 용량이더라도 제조사나 모델에 따라 미세하게 용량 차이가 나는 경우가 많습니다.
대상의 크기가 더 작을 때는 이해가 되는데, 100% 정확하게 똑같은 크기를 가진 디스크에서 복사 작업이 실패하는 건 왜 그러한 것인지 모르겠습니다. 아무튼 -id 스위치는 이와 같은 Forensic 용 백업 이미지나 사본을 만들 때 사용되는 스위치라는 것만 기억하시면 될 듯 합니다. 뭐 그 외에도 100% 동일한 사본이나, 할당되지 않은 영역 등의 데이터들이 필요할 때도 사용할 수 있겠죠.
참고로 -id 스위치는 오직 디스크 작업에서만 사용되는 스위치입니다. 100% 동일한 파티션 사본을 원한다면 -ia 스위치 만으로도 작업을 진행할 수 있죠. 뭐 그렇습니다. 이상입니다.
참고로 이런 식으로 복사해도 증거가 되지 못한다. 이건 그냥...... 에휴......
