Journal of KIISE:Databases (한국정보과학회논문지:데이타베이스)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

A File Recovery Technique for Digital Forensics on NAND Flash Memory

NAND 플래시 메모리에서 디지털 포렌식을 위한 파일 복구기법

  • Received : 2010.08.19
  • Accepted : 2010.09.24
  • Published : 2010.12.15
Download PDF
⟨ Previous Next ⟩

Abstract

Recently, as flash memory is used as digital storage devices, necessity for digital forensics is growing in a flash memory area for digital evidence analysis. For this purpose, it is important to recover crashed files stored on flash memory efficiently. However, it is inefficient to apply the hard disk based file recovery techniques to flash memory, since hard disk and flash memory have different characteristics, especially flash memory being unable to in-place update. In this paper, we propose a flash-aware file recovery technique for digital forensics. First, we propose an efficient search technique to find all crashed files. This uses meta-data maintained by FTL(Flash Translation Layer) which is responsible for write operation in flash memory. Second, we advise an efficient recovery technique to recover a crashed file which uses data location information of the mapping table in FTL. Through diverse experiments, we show that our file recovery technique outperforms the hard disk based technique.

최근 플래시 메모리가 디지털 기기의 저장장치로 널리 사용됨에 따라 플래시 메모리에서 디지털 증거를 분석하기 위한 디지털 포렌식의 필요성이 증가하고 있다. 이를 위해 플래시 메모리에 저장되어 있는 파일을 효율적으로 복구하는 것이 매우 중요하다. 그러나 기존의 하드 디스크 기반 파일 복구 기법을 플래시 메모리에 그대로 적용하기에는 너무나 비효율적이다. 덮어쓰기 불가능과 같이 플래시 메모리는 하드 디스크와 전혀 다른 특성을 가지기 때문이다. 본 논문에서 디지털 포렌식을 지원하기 위한 플래시 메모리를 잘 이해하는 파일 복구 기법을 제안한다. 첫째, 플래시 메모리 저장장치로부터 복구 가능한 모든 파일들을 효과적으로 검색하는 방법을 제안한다. 이것은 플래시 메모리의 쓰기 연산을 담당하는 FTL(Flash Translation Layer)의 메타데이터를 최대한 활용한다. 둘째, 복구 대상 파일들 중에서 특정 파일을 효율적으로 복구할 수 있는 기법을 제안하며, 이를 위해 FTL의 사상 테이블의 위치 정보를 이용한다. 다양한 실험을 통해 본 논문에 제안하는 기법이 기존의 하드 디스크 기반 파일 복구 기법보다 우수함을 보인다.

Keywords

References

  1. Intel Corporation, "Understanding the flash Translation layer(FTL) specification," http://www.intel.com.1998.
  2. J. Kiln, J. M. Kim, S. H. Noh, S. L. Min, Y. Cho, "A Space-Efficient Flash Translation Layer for CompactFlash Systems," IEEE Translation on Consumer Electronics, vol.48, no.2, pp.366-375, 2002. https://doi.org/10.1109/TCE.2002.1010143
  3. Samsung Electronics, "NAND Flash Spare Area Assignment Standard," http://www.samsung.com/. 2005.
  4. A. Ban, "Flash file system optimized for page-mode flash technologies", United States Patent. no. 5,937,42, 1999.
  5. T. Shinohara, "Flash memory card with block memory address arrangement," United States Patent, no. 5,905,993, 1999.
  6. A. Ban, "Flash File System," United States Patent. no.5,404,485, 1995.
  7. A Kawaguchi, S. Nishioka, H. Motoda, "A Flash-Memory based File System," Proceedings of 1995 USENIX Technical Conference, pp.155-164, 1995.
  8. Microsoft Corporation, "FAT: General Overview of On-Disk Format," Version 1.02, May 5, 1999.
  9. S. L. Garfinkel, "Carving contiguous and fragmented files with fast object validation," Digital Investigation, 2007.
  10. G. G. Richard III, V Roussev, "Scalpel: A Frugal, High Performance File Carver," 2005 DFRWS Published by Citeseer, 2005.
  11. H. Y. Choe, S. H. Kim, S. W. Lee, S. W. Park. "FlaSim : A FTL Memory Emulator using Linux Kernel Modules," Journal of KIISE : Computing Practices and Letters, vol.15, no. 11, pp.836-840, Nov.2009. (in Korean)