Journal of Digital Forensics (디지털포렌식연구)

Korean Digital Forensics Society (한국디지털포렌식학회)
권호 표지

A Research on Virtual Disk Reconstruction Method on Windows Storage Space

윈도우 저장소 공간 시스템 상의 가상 디스크 재구성 방법 연구

  • Kim, Junho (Graduate School of Information Security, Korea University) ;
  • Choi, Hoyong (Graduate School of Information Security, Korea University) ;
  • Lee, Sangjin (Graduate School of Information Security, Korea University)
  • 김준호 (고려대학교 정보보호대학원) ;
  • 최호용 (고려대학교 정보보호대학원) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2018.11.19
  • Accepted : 2018.12.28
  • Published : 2018.12.31

⟨ Previous Next ⟩

Abstract

Recently, as the amount of digital data rapidly increases, a large storage space is required. RAID is a system that can manage large capacity storage space. Storage space provided by Windows is a type of software RAID. Storage space has been supported since Windows 8, Windows Server 2012, and no analysis has been done on the functionality. To analyze system using storage space, analysis of storage space function and reconstruction method of virtual disk should be studied. In this paper, we briefly describe the layout of existing RAID, explain the layout and metadata of storage space of software RAID, present reconstruction method of virtual disk by disk layout, and verify the result through experiments.

최근 디지털 데이터의 양이 급격하게 증가함에 따라 대용량 저장 공간의 필요해지고 있다. RAID는 이러한 대용량 저장 공간을 관리할 수 있는 시스템이다. Windows에서 제공하는 저장소 공간은 소프트웨어 RAID의 일종이다. 저장소 공간은 Windows 8, Windows Server 2012 버전부터 지원되었으며 해당 기능에 대한 분석이 기존에 이루어져 있지 않다. 저장소 공간을 이용한 시스템을 분석하기 위해서는 저장소 공간 기능에 대한 분석과 가상 디스크 재구성 방법에 대한 연구가 이루어져야 한다. 본 논문에서는 기존 RAID의 레이아웃에 대해 간단히 설명하고 소프트웨어 RAID인 저장소 공간의 구성 방식과 메타데이터를 설명하고 구성 방식별로 가상 디스크의 재구성 방법을 제시하고 실험을 통해 이를 검증하였다.

Keywords

Acknowledgement

Grant : 디지털 포렌식 통합 플랫폼 개발

Supported by : 정보통신기술진흥센터

References

  1. Seagate, "Data Age 2025: The Evolution of Data to Life-Critical", https://www.seagate.com/www-content/our-story/trends/files/Seagate-WP-DataAge2025-March-2017.pdf (Retrieved 2018.11.16.)
  2. Wikipedia, "RAID", https://ko.wikipedia.org/wiki/RAID (Retrieved 2018.11.16.)
  3. Adaptec, "Hardware RAID vs. Software RAID: Which Implementation is Best for my Application?", https://www.adaptec.com/nr/rdonlyres/14b2fd84-f7a0-4ac5-a07a-214123ea3dd6/0/4423_sw_hwraid_10.pdf (Retrieved 2018.12.05.)
  4. TechTarget, "netword-attached storage (NAS)", https://searchstorage.techtarget.com/definition/network-attached-storage (Retrieved 2018.11.16.)
  5. Hilgert, J. N., Lambertz, M., & Yang, S. (2018). Forensic analysis of multiple device BTRFS configurations using The Sleuth Kit. Digital Investigation, 26, S21-S29. https://doi.org/10.1016/j.diin.2018.04.020
  6. 안재형, 박정흠, 이상진. (2014). XFS 파일 시스템 내의 삭제된 파일 복구 기법 연구. 정보보호학회논문지, 24(5), 885-896.
  7. Microsoft, "Windows 10의 저장소 공간", https://support.microsoft.com/ko-kr/help/12438/windows-10-storage-spaces (Retrieved 2018.12.05.)
  8. TechTarget, "storage pools", https://searchservervirtualization.techtarget.com/definition/storage-pools (Retrieved 2018.11.16.)
  9. TechTerms, "Parity Bit", https://techterms.com/definition/parity_bit (Retrieved 2018.11.16.)