쓰기 방지(Write block)란 ?

: 쓰기 방지는 왜 필요할까?

디지털 포렌식에서 가장 중요한 목적은 법정에 제출하여 증거로써의 효력을 갖추는 것이다. 즉, 포렌식 목적으로 분석을 수행하거나 이미징을 할 때에는 증거의 무결성을 위해 쓰기방지가 반드시 이루어져야 한다. 

:: 쓰기 방지 도구란?

디지털 저장 자치를 분석하고자 할 때 원본 데이터가 수정 및 삭제되지 않도록 방지해주는 도구를 말함. 쓰기 방지 장치는 하드웨어, 소프트웨어 쓰기 방지 장치 두 개로 나뉜다.

 

가장 기본적인 무결성을 인정받기 위한 논리적 쓰기방지를 해보자.
쓰기 방지는 논리적인 방법 말고 포렌식 도구를 이용하는 방법도 있다.

레지스트리 편집기를 실행하는 방법은 여러가지이다. 레지스트리 편집기를 열여주자

경로
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies

맨 뒤 StorageDevicePolicies는 없다. Control 우클릭해서 키를 새로 하나 만들어주자.
키의 이름은 StorageDevicePolicies 오타 없이 입력해주자.

새로 만들기 -> DWORD(32비트) 이 때 이름은 WriteProtect 이다. 오타 없이 입력해주자.

잘 생성되었으면 더블클릭하여 값 데이터를 1로 수정하여준다.

휴지통 속성에 들어가면 아래와 같은 이미지를 만날 수 있다.

파일을 휴지통에 버리지 않고 삭제할 때 바로제거를 체크하여 준다.

제어판 -> 자동실행 -> 모든 미디어 및 장치에 자동 실행 사용을 체크 해제하여 준다.

이렇게 논리적 쓰기방지가 되었다.

하지만 이러한 논리적 쓰기방지는 디스크 편집 툴을 이용하면 변경이 가능하다. 즉, 실제로 무결성을 완벽하게 지켜주지 못한다는 것을 알아야 한다.