2017년 2월 23일 목요일

[포렌식] USB등 외부 저장매체 인식 문제 해결 방법

포렌식 관점에서 보면, 8번 같은 경우가 간혹 발생하는데 CHKDSK 명령어를 통해 복구를 시도해보고 안되면 포렌식 툴로 데이터를 복구시켜서 재 포맷해서 사용하면 된다.

1.USB연결시 PC에서 아무런 반응이 없는경우
- 다른 PC에 연결하여 인식해서도 아무런 반응이 없다면, USB 고장으로 판단

2.USB연결시 USB장치가 과도하게 뜨거워지는 경우
- USB 접촉과정에서 과전류가 흐를경우 USB가 뜨거워지면서 USB메모리가 파손됨
  겉으로는 멀쩡해도 메모리에 저장된 데이터는 물론 심할경우 프라스틱 케이스가
  녹을 수 있으며 이러한 경우 복구는 어려움

3.USB연결시 인식은 되나, 윈도우 컴퓨터관리 디스크관리 항목에서 "읽을수 없음"으로 나오는 경우.
- 대부분 아래 9번의 경우처럼 Dead cell(Bad cell)이 발생한 경우임

4.USB연결시 "디스크를 삽입해 주세요" 메세지가 나오는 경우
- USB부팅시디를 만들려다 실패하는 경우이며 MPTOOL로 메모리를 다시 초기화 하면됨

5.USB연결시 "장치인식실패" 메세지 
- PC의 USB 장치드라이버나 USB단자불량 또는 접촉 불량으로 또는
   USB 메모리 물리적인 문제로 인해서 출력되는 경우

6.인식은 정상이나 파일을 USB에 복사하거나, 읽어올때 USB가 인식이 끊어졌다 다시 인식되는 경우
- 대부분 메모리에 발생한 Dead cell(Bad cell)이 원인으로 나타납니다.
   USB메모리 접촉불량으로 일시적으로 나타날수도 있지만, 대부분 메모리 자체 불량임

7.USB연결시 인식이 되었다가 끊어지는 증상이 반복
- 이 증상도Dead cell(Bad cell)이 대표적인 원인입니다. 메모리컨트롤러에 문제가 있는 경우도 있음

8.인식은 정상이나 "포맷하시겠습니까?"메세지가 출력되는 경우
-  USB메모리에 논리적인 파일시스템 손상이 있거나 물리적으로 문제가 있을경우 "포맷하시겠습니까?" 메세지가 출력되는 경우
   ​물리적인 손상이든 논리적인 손상이든지 저장장치에서 파일시스템 정보를 읽어올수 없기 때문에 파일시스템이 없는 저장장치라고 인식해서 "포맷하시겠습니까?" 라고 메세지를 출력하는 겁니다.
  
제어판 -> 관리도구 -> 컴퓨터관리에서 왼쪽 [디스크 관리] 항목 탭을 선택후 열어보면 아래 그림처럼 속성이 RAW로 인식.


이러한 경우, 도스창에서 해당 볼륨으로 이동한 다음 CHKDSK /r /f을 실행하여 파일 시스템 정보 복구를 시도해보고 그래도 안되면 포렌식 툴 (FTK Imager나 Encase)을 이용하여 복구하면됨. 파일 시스템이 손상된거지 파일 내용에 문제가 있는게 아니기 때문에 100% 복구가 가능하다.

9.인식은 정상인데 내컴퓨터에서는 드라이브가 뜨지 않고, 디스크 관리에서 할당되지 않음으로 나오는 경우
- "포맷하겠습니까?" 처럼 논리적 손상이든지 물리적 손상이든지 동일하게 출력되는 메세지입니다. 8번과 같이 시도하여 복구하거나 파일이 없는 경우 아래 디스크 관리에서 드라이브 할당을 해주면 해결됨.


댓글 없음:

댓글 쓰기