1. unallocated space란? + 작성 이유

한글로 번역하자면 할당되지 않은 공간 즉 사용하지 않는 공간이라는 뜻입니다. 이는 윈도우에서 볼 수 있는데 그 예시는 다음과 같습니다.

 

 

할당 되지 않은 공간 존재
할당되지 않은 공간 존재

위 사진들 처럼 할당 되지 않은 공간이 있습니다. 그런데 이게 포렌식이랑 무슨 연관이 있는지 궁금했고 이게 어떻게 동작하는지 정확한 원리를 알고 싶어서 찾아보았습니다.

 

 

2. 할당, 비할당 공간 - (여기서는 할당되지 않는 공간을 비할당 공간이라고 하겠습니다.)

윈도우 운영체제에서 내가 특정 공간에 파일을 작성하면 해당 부분은 할당된 공간이 됩니다. 그렇다면 할당되었다는 표시를 구분할 수 있는 규칙이 필요한데 파일 시스템은 1과 0으로 라벨링 함으로 구분을 짓습니다.

 

"1"일 경우에는 파일을 저장하는데 사용된다는 것을 의미합니다. 한마디로 해당 공간에 정보를 저장한다 라는 의미입니다.

"0"일 경우에는 파일이 삭제 되면 발생하는데 삭제를 할 때 0으로 라벨링을 하게 됨으로써 비할당 영역을 나타내는 것입니다.

 

중요한 것은 파일이 삭제 되었을 때를 주목해야하는데 0으로 라벨링이 되었다고 해도 해당 데이터가 완전 사라진 것이 아닙니다. 이는 데이터를 덮어쓰기를 하지 않는 이상 파일을 언제든지 복구할 수 있다는 뜻이 됩니다.

 

예를 들어보겠습니다.

.PDF 파일(대략 12GB), .DOC 파일(5GB)이 존재하는데 이를 내 SSD(512GB)에 저장을 하였습니다. 그리고 PDF파일이 필요가 없어져 삭제를 하였습니다.

그렇다면 할당영역은 본래 17GB였고 비할당 영역은 495GB이 됩니다. 이후 PDF를 삭제를 하였기 때문에 507GB가 비할당 영역 5GB가 할당 영역이 됩니다.

여기서 .PDF는 0으로 라벨링이 되었고, .DOC파일은 아직 할당되어있는 상태라고 볼 수 있습니다. 

.PDF는 unallocated space 에 존재하는데 이 공간에 다른 파일이 들어와 덮어쓰기가 된다면 파일을 복구할 수 없게 됩니다. 하지만 덮어쓰기 하기 이전에는 복구할 수 있습니다.

그 예는 다음 사진과 같습니다.

unallocated space 공간 내

02067 파일은 삭제 된 파일이지만 FTK imager로 확인해 본 결과 PDF파일임을 확인해볼 수 있습니다. 이는 export로 복구가 가능하다는 이야기가 됩니다.

 

3. 단계별 예) - 0과 1 라벨링에 대해서 단계별로 자세히 설명하겠습니다.

 

1. 초기 상태

0000000000000000000000000.....으로 아무 데이터도 저장 안되어있는 0으로 라벨링이 다 되어있습니다.

 

2. 파일 저장

2개의 파일을 저장하면 해당 파일이 저장되는 공간에 1로 라벨링이 됩니다.

111001110000000000000000000......... 이라고 가정하겠습니다.(첫번째가 PDF, 두번째가 DOC)

 

3. 파일 삭제 - (PDF 복구 가능)

00000111000000000000000000..........으로 원래 라벨링 0으로 돌아가게 됩니다.

 

4. 새 파일 추가 - (PDF 복구 불가능)

110001110000000000000000000........이렇게 000자리에 덮어쓰기가 되면 복구가 불가능합니다.

 

 

4. 마무리 - 내 생각

윈도우 파일 시스템 구조는 전체적인 큰 틀에서 벗어나지 않는다는 점에서 안좋을 수도 있겠지만 개인적으론 좋다고 생각합니다.

 

이와 관련된 궁금한 것들을 찾아보는 과정 속에 문득 공부를 할 때마다 제대로 된 정리 문서가 영어로 되어있기 때문에 이를 번역해서 이해하고 찾아나가는 과정이 번거롭고 시간이 걸린다는 생각이 들었습니다. 

앞으로 이러한 분야, 해당 부분들을 한글로 번역 및 딱 요점만 정리해서 빠르게 이해하기 위해 작성해 나갈 것입니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

참조 : 

https://www.thomsonreuters.com/en-us/posts/legal/understanding-e-discovery/

 

Understanding Deleted Files, Unallocated Space, and Their Impact on E-Discovery

A lawyer’s technical understanding of how digital information is stored makes a difference in the context of e-discovery and how he best serves his clients.

www.thomsonreuters.com

https://threat.media/definition/what-is-unallocated-space/

 

What Is Unallocated Space? — Definition by ThreatDotMedia

Unallocated space refers to the portion of a hard drive that people can use to save new files. Learn more about it in this definition.

threat.media

https://whereismydata.wordpress.com/2008/10/03/what-is-unallocated-space/

 

What is unallocated space?

What is unallocated space? Unallocated space, sometimes called “free space”, is logical space on a hard drive that the operating system, e.g Windows, can write to. To put it another way it is the o…

whereismydata.wordpress.com

 

'포렌식(forensic)' 카테고리의 다른 글

기초 패킷 분석(wireshark) - 네트워크 포렌식  (0) 2024.06.19
메모리 포렌식 - cridex 분석  (0) 2024.05.04
Windows Artifacts - Amcache.hve 요약 정리 및 파일 분석  (0) 2024.04.03

+ Recent posts

티스토리툴바