인프런 커뮤니티 질문&답변
작성한 질문수
쓰기방지실습
해결된 질문
작성
·
83
1
안녕하세요 현재 10강 '[공통]쓰기방지 실습'을 수강하며 레지스트리를 이용하여 쓰기방지를 시도하였지만 실패하여 문의드립니다. 재시작, USB 재연결, 구글링 등 여러 노력을 하였지만 해결책을 찾지 못하여 문의드립니다. 감사합니다.
답변 2
0
안녕하세요 midnight_sun님!
올려주신 스샷을 봤을때는 설정은 제대로 하신것 같은데, 저렇게 했음에도 불구하고 쓰기방지 적용이 안되어서 계속 쓰기가 가능한 상태라는 말씀이신거죠 ?
구글링등 여러 방법으로 찾아보신것 같아서, 제가 말씀드릴 내용들도 다 시도를 해보셨을것 같긴합니다만...
저도 이런 경우는 처음보다보니, 우선 하나씩 해보면서 문제점을 찾아봐야할것 같습니다.
1) 위 스샷에 보면 writeprotect가 우선 1로 잡혀있긴한데, 저기 값을 1로 바꾼 후 바로 캡처를 하신걸까요? 저렇게 변경하신다음에, 재부팅을 한 후 여전히 값이 1로 유지가 되는지 확인한번 부탁드립니다
2) 다른 USB로 시도
찾아보니 아주 일부 usb에서 이렇게 writeprotect 를 변경해도 적용이 안되는경우가 있다고 하는데
다른 usb로도 동일하게 문제가 발생할까요?
3) 문제가 됐던 USB를 다른 컴퓨터에서도 동일한 방법으로 레지스트리로 쓰기방지후에
연결해서 똑같이 쓰기방지가 안되는지 확인 부탁드립니다
4) 레지스트리 편집기 실행시에 '관리자 권한으로 실행'하여 수정을 해보세요
5) 백신이 간섭하는 경우도 있다고 하니 백신이 실행중이라면 잠시 끄고 해보세요.
6) 혹시 현재 윈도우즈에 설치된 프로그램 중 쓰기방지에 영향을 줄만한 프로그램이 있는지 확인해보세요
7) 정말 혹시나해서 여쭤보는 부분인데, Encase Fastbloc SE 등 쓰기방지 가 중복으로 실행되고 있는건 아닌지도 확인한번 해보세요.(fastbloc se에서 쓰기방지 해제상태로 설정이 유지중이어도 레지스트리에서 변경하면 쓰기방지가 되는게 맞긴한데... 혹시 모르니 중복 실행중이라면 하나를 확인이 꺼주시고 다시 한번 해주세요)
모두 검색하면 나오는 내용이라 다 해보시긴 했을것 같지만, 저도 궁금하네요. 각각의 경우에 결과가 어떻게 됐는지 말씀한번 부탁드리겠습니다.
FTK imager로 확인해보면 쓰기방지가 적용되지 않는 USB는 타입이 SCSI로 뜨고, 정상적으로 쓰기방지가 적용되는 USB는 타입이 USB로 뜨는데 이것때문일지는 잘 모르겠습니다.
안녕하세요 midnight_sun님!
말씀해주신 내용에 따르면, USB 차이로 인해 발생하는 문제로 보입니다.
테스트에 사용하신 USB가 아마도, 128GB(쓰기방지 적용 불가), 32GB(쓰기방지 적용)로 보이는데, 다른 컴퓨터에서도 동일한 문제를 겪으셨다는걸 보니 128GB USB 문제인것으로 생각되어서 원인이 무엇일까 하며 검색을 조금 해봤는데 아래와 같은 내용을 확인했습니다.
USB 장치라도 운영체제(또는 드라이버)에서 SCSI 장치로 인식하는 경우가 있고, 그렇지 않은 경우가 있다. 이 차이는 주로 USB 대용량 저장장치(Class) 규격의 동작 방식과 Windows 드라이버 스택에서의 인식 방식 때문에 생긴다.
USB 스토리지 장치는 대부분 USB Mass Storage Class (MSC) 규격을 따른다. 이 규격에서는 두 가지 프로토콜이 주로 쓰인다:
Bulk-Only Transport (BOT)
- 오래된 방식
- 단순히 USB 인터페이스 위에서 데이터를 주고받음
- OS에서 USB로 표시되기 쉽다.
- usbstor.sys 드라이버 사용
USB Attached SCSI (UAS)
-USB 3.0 이상에서 등장
-USB 프로토콜로 SCSI 명령을 전송
- OS는 내부적으로 이 장치를 SCSI 디바이스로 인식한다.
- uaspstor.sys 드라이버 사용
레지스트리에서 WriteProtect 값을 1로 설정하여 사용하는 쓰기방지 방법은
Windows의 usbstor.sys 드라이버가 장치를 다룰때 적용되는 방법이라고 합니다.
레지스트리에서 WriteProtect 값을 1로 변경후 USB를 연결하고, USB에 파일을 쓰려고 할 경우 usbstor.sys에서 요청한 쓰기를 막는 방식.
다시 얘기해서 SCSI로 표현되는 경우에는 usapstor.sys를 드라이버로 사용하기때문에
윈도우즈 레지스트리로 수정시에는 적용이 안될 가능성이 높아 보입니다.
이 내용을 확인하고 저도 제가 가지고 있는 USB(일반 USB는 최대 32GB밖에 없어서...)로
확인을 해봤는데 32GB 까지는 FTK Imager에서 모두 'USB'로 잡히고, 레지스트리를 통한 쓰기방지도 정상 적용되는것을 확인했습니다.
그런데 외장하드(1TB)를 연결해서 FTK Imager에서 확인시 'SCSI'로 잡히고,
레지스트리에서 쓰기방지를 적용했음에도 불구하고 쓰기가 가능하더라고요.
이런 문제는 위에서 본 바와같이 USB/SCSI에 따라서 드라이버를 다르게 사용하고
레지스트리 수정을 통한 쓰기방지는 usbstor.sys 드라이버에 대한 요청을 막기 때문에 usbstor.sys를 드라이버로 사용하지 않는 SCSI의 경우에는 적용되지 않아서 생기는 문제로 보입니다.
이런 차이는 개인적인 생각으로는 용량도 한 몫 하는것 같은데, SCSI의 장점은 속도가 빠른 장점이 있다보니 아마도 고용량(midnight_sun님이 사용하신 128GB USb, 제가 사용한 1TB 외장하드)이기때문에 이런 차이가 있지 않을까 하는 생각도 들긴하네요.
실제 시험에서는 이런 부분을 생각하고 출제를 할테고, 또 쓰기방지를 하지 않았다고 해도 단순히 연결 후 이미징 하는 정도로는 hash가 변할정도의 데이터 변경이 일어나긴 어렵다보니 16, 32gb정도 용량의 USB로 연습하시고 이부분에 대한 걱정은 크게 안하셔도 될것 같습니다.
저도 처음 보는 경우인데 midnight_sun님 덕분에 새로운걸 하나 배웠습니다. 감사합니다 !
댓글 작성후 Encase Fastbloc SE 경우는 어떨지 궁금해서 확인해봤는데,
위에서 테스트에 사용한 1TB 외장하드는 Fastbloc에서도 적용이 안되는것으로 보이네요. 1개만 테스트 한거라 여러 방법으로 테스트를 해봐야 더 정확하겠지만 우선 참고만 해주세요~
정말 죄송합니다. 여러 일정이 있다보니 지금 확인했습니다. 저도 지금 32gb를 사용해서 준비를 하고 있습니다.
또
diskpart
select disk {USB 번호}
attributes disk set readonly
이런식으로 쓰기 방지 설정을 하니 적용은 되더라구요.
친절한 답변 감사드립니다!
0
안녕하세요, 인프런 AI 인턴입니다. midnight_sun님.
디지털 포렌식 시험 준비 중 레지스트리를 통한 쓰기방지 설정 과정에서 어려움을 겪고 있으신 것 같네요. 이 설정은 USB 드라이브 등에 불필요한 데이터 변경을 방지하기 위해 중요한 단계입니다.
쓰기방지 설정이 실패하는 이유는 여러 가지가 있을 수 있으니, 몇 가지 점검 사항을 제안드리겠습니다:
레지스트리 경로 확인:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies경로가 맞는지 확인하세요. 또한, 설치된 운영체제가 해당 기능을 지원하는지 확인해야 합니다. 일부 운영체제에서는 기본적으로 이 키가 없을 수도 있으니 직접 생성해야 할 수도 있습니다.WriteProtect 값: WriteProtect 값이
1로 설정된 상태에서 저장되었는지 확인해 주세요. 값이0이라면 쓰기 보호가 해제된 상태입니다.관리자 권한: 레지스트리 설정을 변경하려면 관리자 권한이 필요합니다. 레지스트리 편집기를 실행할 때 관리자 모드로 실행되는지 확인하세요.
드라이버 및 USB 확인: USB 드라이브가 올바르게 연결되어 있는지, 그리고 드라이브가 인식되어 있는지 확인하세요. 추가적으로, USB 드라이버가 최신 버전인지 체크해보세요.
안티바이러스 프로그램: 일부 안티바이러스 프로그램이나 보안 소프트웨어에서 레지스트리 변경을 차단할 수도 있습니다.
유사한 주제의 답변은 아래 링크에서 확인하실 수 있습니다:
- 디지털 포렌식에서 USB 처리 및 레지스트리 설정 관련 자세한 안내: 이를 참고하여 레지스트리 설정 및 처리 방법을 점검해보세요.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
1) 재부팅을 해도 1로 유지되는 것 같습니다.
2) 16gb USB를 사서 실험해보니 정상적으로 쓰기방지가 되는 것 같습니다.
3) 2개의 노트북, 1개의 데스크톱에서 실행을 해봤는데, 모두 동일하게 기존 USB는 쓰기방지가 적용되지 않고, 새로산 16gb만 쓰기방지가 되는것 같습니다.
4) - 5) 전부 시도해봤습니다.
6) 이건 잘모르겠습니다.
일반 사용자가 없을 만한 프로그램은 그나마 WSL이 있는것 같습니다.
7) 아직 학생이라 Encase가 없습니다.... 그외 따로 쓰기방지를 따로 설정한건 없습니다.