KR101975634B1 - 디지털 메모리 이미징 시스템 및 방법 - Google Patents
디지털 메모리 이미징 시스템 및 방법 Download PDFInfo
- Publication number
- KR101975634B1 KR101975634B1 KR1020157019902A KR20157019902A KR101975634B1 KR 101975634 B1 KR101975634 B1 KR 101975634B1 KR 1020157019902 A KR1020157019902 A KR 1020157019902A KR 20157019902 A KR20157019902 A KR 20157019902A KR 101975634 B1 KR101975634 B1 KR 101975634B1
- Authority
- KR
- South Korea
- Prior art keywords
- digital memory
- imaging
- data storage
- imaged
- data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/061—Improving I/O performance
- G06F3/0613—Improving I/O performance in relation to throughput
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0683—Plurality of storage devices
- G06F3/0685—Hybrid storage combining heterogeneous device types, e.g. hierarchical storage, hybrid arrays
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T11/00—2D [Two Dimensional] image generation
- G06T11/20—Drawing from basic elements, e.g. lines or circles
- G06T11/206—Drawing of charts or graphs
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11B—INFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
- G11B5/00—Recording by magnetisation or demagnetisation of a record carrier; Reproducing by magnetic means; Record carriers therefor
- G11B5/86—Re-recording, i.e. transcribing information from one magnetisable record carrier on to one or more similar or dissimilar record carriers
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- General Engineering & Computer Science (AREA)
- Television Signal Processing For Recording (AREA)
- Studio Devices (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
타겟 컴퓨터(1)의 디지털 메모리를 이미징하기 위한 디지털 메모리 이미징 시스템은 타겟 컴퓨터(1)에 의해 각각 수용 가능한 복수의 이동식 데이터 저장 디바이스(3, 5, 7, 9, 11, 13); 타겟 컴퓨터의 디지털 메모리를 이미징하도록 구성된 이미징 수단; 이동식 데이터 저장 디바이스(3, 5, 7, 9, 11, 13) 중 2개 이상에 일련의 데이터 블록으로서 이미징된 디지털 메모리를 출력하기 위한 출력 수단을 포함한다.
Description
본 발명은 디지털 메모리 이미징(imaging) 시스템 및 방법에 관한 것이다. 특히, 본 발명은 경찰, 법 집행, 정보 및 군사 요원에 의해 사용을 위한 디지털 메모리 이미징용 시스템에 관한 것이고, 컴퓨터 포렌식(computer forensics)의 분야에서 특정 용례를 갖는다.
경찰, 법 집행, 정보 및 군사 요원에 의한 수사는 디지털 메모리 이미징에 의한 데이터의 비밀 취득을 종종 요구하는데, 취득된 데이터는 종종 미래의 소송(future proceedings)을 위한 증거로서 사용된다. 이미징 프로세스는 예를 들어 하드 드라이브로부터 데이터의 "비트 단위(bit-for-bit)" 이미지를 취한다. 디지털 메모리 이미지를 USB 플래시 드라이브와 같은 이동식 메모리 디바이스(removable memory device: RMD)에 저장하는 것이 공지되어 있다. 그러나, 이동식 메모리 디바이스는 제한된 저장 크기를 갖고, 종종 단일 디바이스로는 요구된 이미징 프로세스를 위해 충분하지 않다. 디지털 메모리 이미지가 RMD의 크기보다 크면, 요구된 모든 데이터가 추출되지 않을 수 있다. 이동식 메모리 디바이스로의 데이터 이미징은 디지털 메모리를 판독하는 것보다 훨씬 더 저속이고, 이는 이미징 프로세스에 "병목(bottleneck)"을 생성할 수 있어, 요구된 증거가 취득될 수 없고, 이미징의 비밀 성질이 위협받게 된다는 것이 또한 발견되었다.
단일의 USB 디바이스에 하드 드라이브를 이미징하려고 시도할 때, 사용자는 전체 드라이브 이미지를 저장하기 위해 USB 디바이스 상에 충분한 공간이 존재하는 것을 보장해야 할 필요가 있다. 예를 들어, 80 GB 하드 드라이브를 이미징하는데 모든 80 GB의 여유 공간(free space)이 타겟 하드 드라이브에 의해 사용되는지 여부에 무관하게 80 GB의 여유 공간이 요구된다. 이는 이미징 프로세스가 모든 여유 공간에 추가하여 타겟 드라이브 상에 모든 파일을 이미징하기 때문이다. 따라서, 요구된 타겟 드라이브를 이미징하기 위해 시간 또는 저장 공간이 소모되는 것이 수사에 통상적이다.
USB 디바이스로의 PC/랩탑의 포렌식 이미징을 위한 공지의 툴(tool)은 비효율적이고 저속이다. AccessData® 그룹에 의해 제공되는 "FTK" Forensic Toolkit® Imager, 또는 Guidance Software Inc.에 의해 제공되는 EnCase® Forensic Imager와 같은 통상의 툴은 데이터가 이후에 단일의 USB 포트를 통해 이미징되는, USB 디바이스로부터 실행되는 이미징 시스템에 의존한다. 공지의 이미징 툴은 또한 "부트 환경(boot environment)"으로부터 동작하고, 이에 의해 이미징되는 타겟 머신은 운영 체제의 편집된 버전을 포함하는 CD-ROM 또는 USB 디바이스를 사용하여 부트업되어, 이미징 디바이스가 타겟 머신의 내부 드라이브에 액세스하게 할 필요가 있다. 공지의 부트 환경 CD-ROM은 e-fense Security Solutions 및 Paladin (RTM) bootable CD에 의해 제공되는 "Helix-3"을 포함한다. 이러한 공지의 시스템의 속도의 결여 및 비효율성은 수사의 비밀 성질에 불리하고, 특히 데이터를 취득하기 위해 이용 가능한 매우 제한된 시간만이 존재할 때 종종 모든 요구된 데이터가 이미징될 수 없는 것을 의미한다.
공지의 이미징 시스템의 비효율성에 추가하여, 하드 드라이브는 이제 더 대형인데, 즉 USB 디바이스를 통해 필요 데이터를 이미징하는데 증가된 시간을 소요한다. Guidance Software Inc.에 의해 제공되는 "Tableau TD1 Forensic Duplicator"와 같은 전문 드라이브 이미저에 타겟 하드 드라이브를 연결하는 것이 공지되어 있는데, 이는 하드 드라이브가 더 신속하게 이미징될 수 있게 한다. 그러나, TD1 이미징이 발생되게 하기 위해 수사될 머신으로부터 하드 드라이브의 필수 제거 및 교체를 수행하는 것은 시간 소모적이고 불편하다. 수사 중에 하드 드라이브를 제거하기 위한 시간 및 기회가 존재하면, 이는 통상적으로 이미징 후에 하드 드라이브를 재설치하는데 요구되는 시간에 추가하여 20분 내지 몇시간을 소요할 수 있다. 따라서, 수사가 촉박한 시간 프레임에서 수행되도록 요구될 때, 종종 단지 하드 드라이브의 부분 이미지를 얻는 것만이 가능하고 치명적인 증거가 포착되지 않는다. 더욱이, 이미징이 이들 공지의 디바이스들로 발생할 수 있게 하기 위해 하드 드라이브를 제거하는 것이 가능하지 않은 것이 점점 통상적이 되고 있다. 예를 들어, 하드 드라이브는 스크린/들 후방에 위치되거나 또는 컴퓨터 자체의 전자 부품 내에 매립된다. 하드 드라이브는 또한 컴퓨터에 결합될 수 있고 또는 드라이브가 무단개봉되어(tampered) 있을 때를 지시하기 위해 보안 스티커를 가질 수 있다. 이러한 것은 제거를 어렵게 그리고 시간 소모적이게 할 뿐만 아니라, 또한 컴퓨터가 컴퓨터의 수사가 발견될 수 없도록 하는 동일한 상태로 유지되는 것이 최우선일 때 비밀 작업을 노출하는 위험이 있다.
미국 특허 출원 공개 US2006/0164743호는 하드 디스크 내의 소스 데이터가 1개씩 복수의 하드 드라이브에 복사되는 데이터 저장 매체의 일대다 복사(one-to-multiple copying)를 위한 방법을 개시하고 있다. 이러한 방법은 퍼스널 컴퓨터 내의 전체 하드 디스크의 직렬 판독 및 일련의 하드 디스크의 각각 상의 저장을 허용하는 것으로 잘 알려져 있다. 이러한 방법의 목적은 소스 또는 타겟 하드 디스크의 다수의 사본을 제공하기 위한 것이다. 수사에 사용을 위해, 이러한 방법의 1차 목적은 "증거 사본"으로서 유지될 하나의 사본과, 팀에 걸쳐 하나 이상의 요원에 배포될 다른 사본들을 동시에 생성하기 위한 것이다. 따라서, 이미징된 데이터는 수사 프로세스의 속도가 증가되도록 다수의 사람들이 수사하고 분석하기 위해 이용 가능하다. 게다가, US 2006/0164743호에 개시된 방법은, 하드 디스크 복사 프로세스에서 가장 가능한 실패점인, 데이터가 이미징되는 하드 디스크 상의 하드웨어 문제의 문제점을 완화한다. 비밀 작업에 있어서, 이러한 직접 복사는 실제로 시간 소모적이고 비효율적이다. 사용자가 타겟 하드 디스크를 가능한 한 신속하고 정확하게 단지 1회 복사할 필요가 있을 때, 이 방법은 적절한 해결책을 제공하지 않는다. US 2006/0164743호의 방법은 또한 컴퓨터로부터 하드 디스크의 제거를 필요로 하여, 전술된 문제점들을 유발한다.
더욱이, 임의의 디지털 메모리의 이미징 프로세스를 완료하기 위해 종종 상당한 시간 기간, 예를 들어 연속적인 몇시간이 요구된다. 수사의 비밀 성질은 종종 이 필요 시간 기간이 이용 가능하지 않게 한다. 비밀 수사를 위해 안출되어 있지 않은 현존하는 디지털 메모리 이미징 시스템은, 요구되는 전체 시간이 이용 가능하지 않으면, 디지털 메모리 이미징이 성공적으로 성취될 수 없도록 이루어져 있다. 예를 들어, 사용자가 80 GB 하드 드라이브를 이미징하기를 원하지만 완전한 80 GB 이미지가 취득되게 하는데 요구되는 시간을 통해 중간에 방해되면, 어떠한 이미징된 데이터도 사용자가 취출하기에 이용 가능하지 않다.
미국 특허 출원 공개 US2007/0043967호는 컴퓨터 수사 시스템의 자동 재접속 및 재취득을 개시하고 있다. 시스템은 컴퓨터의 네트워크를 통해 사용을 위한 것이다. 네트워크로부터 데이터의 취득 중에 접속이 끊길 때, 검사 컴퓨터는 수사 시스템의 재접속을 자동으로 시도하는 것이 가능하고, 일단 접속이 재설정되면 타겟 머신은 중간 상태로부터, 즉 접속이 끊어졌던 때로부터 취득을 계속한다. US2007/0043967호의 시스템은 사용자가 컴퓨터의 네트워크에 접속하기 위해 사전 승인을 필요로 하고 인가된 액세스를 가져야 하기 때문에 비밀 수사에 사용을 위해 적합하지 않다. 이 시스템은 USB와 같은 이동식 메모리 디바이스에 직접 디지털 데이터를 이미징하기 위한 것이 아니라, 단지 네트워크로부터 데이터를 취득하기 위해(그리고 타겟 컴퓨터가 이미징 클라이언트 소프트웨어를 공공연하게 실행하고 있는 경우에) 적합하다.
본 발명은 신속한 보안성 데이터 추출을 허용하는 증가된 효율을 갖는 디지털 메모리 이미징 시스템 및 방법을 제공함으로써 전술된 문제점을 완화하기 위해 착수된 것이다.
일 양태에서, 본 발명은 타겟 컴퓨터의 디지털 메모리를 이미징하기 위한 디지털 메모리 이미징 시스템에 있어서,
타겟 컴퓨터에 각각 접속 가능한 복수의 이동식 데이터 저장 디바이스;
타겟 컴퓨터의 디지털 메모리를 이미징하도록 구성된 이미징 수단;
이동식 데이터 저장 디바이스 중 2개 이상에 일련의 데이터 블록으로서 이미징된 디지털 메모리를 출력하기 위한 출력 수단; 및
이미징된 디지털 메모리의 각각의 데이터 블록을 큐잉 시스템(queuing system)에 따라 선택된 이동식 저장 디바이스에 할당하도록 구성된 할당 수단을 포함하고, 각각의 이동식 데이터 저장 디바이스는 계속 모니터링되는 저장될 데이터의 대기열을 갖는 디지털 메모리 이미징 시스템을 제공한다.
디지털 메모리의 저장 장치를 다수의 이동식 데이터 저장 디바이스에 걸쳐 분할함으로써, 시스템의 속도 및 효율이 훨씬 향상된다.
타겟 컴퓨터의 디지털 메모리는 하드 디스크; 플래시 메모리; 또는 랜덤 액세스 메모리(random-access memory: RAM) 중 임의의 하나를 포함한다는 것이 이해되어야 한다. 본 발명은 타겟 컴퓨터로부터 드라이브를 제거할 필요 없이, 타겟 컴퓨터의 디지털 메모리, 특히 고체 상태 드라이브(solid state drives: SSDs)에 대해 신속하게 이미징하는 것으로 나타나고 있다. 본 발명은 따라서, 예를 들어 단지 짧은 시간 기간만이 이용 가능할 때 그리고 타겟 컴퓨터가 액세스되어 있다는 임의의 증거를 남겨두지 않는 것일 필수적일 때, 비밀 작업 중에 중단 및/또는 발견의 위험 없이 사용자가 대형 타겟 디지털 메모리를 이미징할 수 있게 한다.
바람직하게는, 복수의 이동식 데이터 저장 디바이스는 USB; eSata 외장 드라이브; SD 카드; SD 마이크로 카드; Firewire(RTM) 드라이브; Thunderbolt(RTM) 드라이브의 임의의 조합을 포함한다.
더 바람직하게는, 할당 수단은 각각의 이동식 데이터 저장 디바이스 상에서 이용 가능한 여유 메모리 및/또는 이동식 데이터 저장 디바이스의 속도에 따라 이미징된 디지털 메모리의 각각의 데이터 블록을 할당하도록 구성된다.
각각의 이동식 데이터 저장 디바이스가 현재 판독하고 저장해야 하는 데이터의 양 및/또는 이동식 데이터 저장 디바이스의 속도에 따라 이미징된 데이터를 할당하는 것은 동적 큐잉(dynamic queuing) 시스템을 생성한다. 큐잉 시스템은 이미징 시스템의 효율 및 속도가 최적화되는 것을 보장한다.
바람직하게는, 디지털 메모리 이미징 시스템은 디스플레이 수단을 추가로 포함한다.
디스플레이 수단은 사용자가 이미징 시스템을 모니터링할 수 있게 한다. 예를 들어, 사용자는 이미징된 데이터가 이미지 파일로 변환되어야 할 때, 이동식 데이터 저장 디바이스 중 어느 것이 사용되도록 이용 가능한지를 관찰할 수 있다. 디스플레이는 또한 이동식 메모리 디바이스의 교체가 요구될 때를 사용자에게 통지할 수 있고, 따라서 이미지 저장 용량의 임의의 부족을 회피한다.
바람직하게는, 디지털 메모리 이미징 시스템은 시퀀스 번호; 데이터 블록 길이; 소스 어드레스; 압축값; 시간 스탬프; 고유 식별자의 임의의 조합을 포함하는 헤더로 각각의 이미징된 데이터 블록을 라벨링하기 위한 라벨링 수단을 추가로 포함한다.
데이터 블록을 라벨링함으로써, 시스템은 디지털 메모리 이미지를 정확하고 효율적으로 재조합하여 유효화할 수 있다.
바람직하게는, 디지털 메모리 이미징 시스템은 저장 수단을 추가로 포함하고, 저장 수단은 디지털 메모리의 이미징의 중단에 반응하여 이미징된 디지털 메모리를 중단점에 저장한다.
저장(보유) 수단은 시스템이 중단되고 중단점으로부터 디지털 메모리의 이미징을 이후에 재개하면 시스템이 타겟 컴퓨터의 디지털 메모리의 부분을 저장할 수 있게 한다. 이는 충분한 시간이 전체 타겟 디지털 메모리를 이미징하도록 전용될 수 없으면 사용자가 비밀 작업 중에 디지털 메모리 데이터의 가치 있는 부분을 얻을 수 있게 한다.
제 2 양태에서, 본 발명은 타겟 컴퓨터의 디지털 메모리를 이미징하기 위한 디지털 메모리 이미징 방법에 있어서,
타겟 컴퓨터에 복수의 이동식 데이터 저장 디바이스를 접속하는 단계;
타겟 컴퓨터의 디지털 메모리를 이미징하는 단계;
이동식 데이터 저장 디바이스 중 2개 이상에 일련의 데이터 블록으로서 이미징된 디지털 메모리를 출력하는 단계; 및
이미징된 디지털 메모리의 각각의 데이터 블록을 큐잉 시스템에 따라 선택된 이동식 저장 디바이스에 할당하는 단계를 포함하고, 각각의 이동식 데이터 저장 디바이스는 계속 모니터링되는 저장될 데이터의 대기열을 갖는 디지털 메모리 이미징 방법을 제공한다.
바람직하게는, 방법은 이미징된 디지털 메모리의 각각의 데이터 블록을 각각의 이동식 데이터 저장 디바이스 상에서 이용 가능한 여유 메모리 및/또는 이동식 데이터 저장 디바이스의 속도에 따라 할당하는 단계를 포함한다.
바람직하게는, 디지털 메모리 이미징 방법은 이미징 시스템에 관한 진행 정보를 표시하는 단계를 추가로 포함한다.
바람직하게는, 디지털 메모리 이미징 방법은 시퀀스 번호; 데이터 블록 길이; 소스 어드레스; 압축값; 시간 스탬프; 고유 식별자의 임의의 조합을 포함하는 헤더로 각각의 이미징된 데이터 블록을 라벨링하는 단계를 추가로 포함한다.
바람직하게는, 디지털 메모리 이미징 방법은 이미징된 디지털 메모리를 중단점에 저장하는 단계를 추가로 포함한다.
명료화 및 간명한 설명을 위해, 특징들은 동일한 또는 개별 실시예의 부분으로서 본 명세서에 설명되지만, 기술의 범주는 설명된 특징들의 모두 또는 일부의 조합을 갖는 실시예를 포함할 수도 있다는 것이 이해될 수 있을 것이다.
본 발명의 기술의 이들 및 다른 특징들은 첨부 도면과 함께 이하의 상세한 설명을 참조하여 더 완전히 이해될 수 있을 것이다.
도 1은 본 발명에 따라 구성된 디지털 메모리 이미징 시스템의 예의 블록 다이어그램이다.
도 2a는 본 발명의 제 1 실시예의 디지털 메모리 이미징 방법의 흐름도이다.
도 2b는 본 발명의 제 1 실시예의 디지털 메모리 이미징 방법에 의해 수행된 동적 큐잉의 흐름도이다.
도 3은 본 발명의 대안 실시예의 디지털 메모리 이미징 방법의 흐름도이다.
도 4는 통상의 "중간 범위" 시스템 상의 다양한 기록 버퍼 크기를 위한 판독 버퍼 크기에 대한 전송 속도를 도시하는 부록 2에 상세히 설명된 시험을 도시하는 그래프이다.
도 2a는 본 발명의 제 1 실시예의 디지털 메모리 이미징 방법의 흐름도이다.
도 2b는 본 발명의 제 1 실시예의 디지털 메모리 이미징 방법에 의해 수행된 동적 큐잉의 흐름도이다.
도 3은 본 발명의 대안 실시예의 디지털 메모리 이미징 방법의 흐름도이다.
도 4는 통상의 "중간 범위" 시스템 상의 다양한 기록 버퍼 크기를 위한 판독 버퍼 크기에 대한 전송 속도를 도시하는 부록 2에 상세히 설명된 시험을 도시하는 그래프이다.
유사한 부분이 전체에 걸쳐 유사한 참조 부호에 의해 지시되어 있는 본 명세서에 설명된 도면은 본 발명의 기술에 따른 디지털 메모리 이미징 시스템 및 방법의 예시적인 실시예를 도시하고 있다. 본 발명의 기술은 도면에 도시된 예시적인 실시예를 참조하여 설명될 것이지만, 다수의 대안적인 형태가 본 발명의 기술을 구체화할 수 있다는 것이 이해되어야 한다.
도 1 및 디지털 메모리 이미징 시스템의 예를 참조하면, 타겟 컴퓨터(1)는 USB 1.0, USB 2.0 및 3.0 드라이브(3); eSata 외장 드라이브(5); SD 및 SD 마이크로 카드(7); FireWire(RTM) 드라이브(9); Thunderbolt(RTM) 드라이브(11) 및 PCI Express 외장 드라이브(13)의 임의의 조합을 포함하는 다수의 이동식 데이터 저장 디바이스를 수용하는 것이 가능하다. 타겟 컴퓨터는 이동식 데이터 저장 디바이스에 접속하는 것이 가능한 퍼스널 컴퓨터, 랩탑, 태블릿 컴퓨터 또는 임의의 유사한 디바이스인 것으로 이해된다.
타겟 컴퓨터(1)로의 액세스를 갖는 사용자는 USB 1.0, 2.0 또는 3.0 드라이브(3) 또는 유사한 디바이스(5, 7, 9, 11, 13)를 거쳐 타겟 컴퓨터(1)에 디지털 메모리 이미징 시스템을 도입한다. USB 드라이브(3)는 타겟 컴퓨터(1)에 접속되고, 디지털 메모리 이미징 방법이 수행되는 것을 허용하기 위한 "호스트" 디바이스로서 작용한다.
도 2a를 참조하면, 디지털 메모리 이미징 방법의 바람직한 실시예에서, 디지털 메모리 이미징 시스템은 단계 200에서 타겟 컴퓨터에 접속되고, 디지털 메모리 이미징 방법이 시작된다. 단계 201에서, 시스템은 타겟 컴퓨터의 디지털 메모리가 이미징될 데이터 저장 디바이스, 즉 물리적 고정식 디지털 메모리(드라이브)를 검출한다. 예를 들어, 단계 201에서, 시스템은 3개의 USB 2.0 디바이스; 2개의 USB 3.0 디바이스 및 하나의 PCIe USB 3.0 카드가 타겟 컴퓨터 내에 삽입되어 있는 것을 검출한다. 단계 203에서, 시스템은 호스트 저장 디바이스; 예를 들어 이미징 시스템이 저장되어 있는 USB 2.0, USB 3.0 또는 유사한 이동식 데이터 저장 디바이스를 배제한다. 따라서, 상기 예에서, 시스템은 하나의 USB 2.0 디바이스가 디지털 메모리 이미징 시스템을 갖고 있고, 나머지 2개의 USB 2.0 디바이스; 2개의 USB 3.0 디바이스 및 하나의 PCIe USB 3.0 카드가 타겟 컴퓨터의 하드 디스크(디지털 메모리)를 이미징하는데 사용되는 것을 검출한다. 하드 디스크라는 것은 플래시 메모리 또는 랜덤 액세스 메모리(RAM)와 같은 임의의 형태의 디지털 메모리를 포함한다는 것이 이해된다. 동시에, 단계 205에서, 시스템은 논리 드라이브, 즉 타겟 컴퓨터의 디지털 메모리를 검출한다.
단계 207에서, 시스템은 이전에 검출되었던 디바이스 및 드라이브를 대조하여 표시한다. 예를 들어, 정보가 타겟 컴퓨터 스크린 상에 표시된다. 단계 209에서, 사용자는 타겟 디지털 메모리의 이미징을 개시하도록 시스템에 명령한다.
시스템은 이어서 큰 데이터 블록에서 순차적으로 메모리를 판독함으로써 타겟 디지털 메모리를 이미징하기 시작한다. 데이터 블록 크기는 통상의 디바이스 유형에 대한 최적 성능을 보장하기 위해 사전 결정된다. 8 MB의 블록 크기는 방법을 수행하는 컴퓨터의 메모리 용량과 다수의 이동식 메모리 디바이스를 가로질러 데이터 블록을 저장하기 위한 대기열 길이 사이의 최적 균형을 허용하는 것이 발견되었다. 예를 들어, 소형 퍼스널 컴퓨터는 대략 512 MB의 메모리를 갖고, 8 MB의 데이터 블록 크기가 이 크기의 메모리를 갖는 타겟 컴퓨터를 오버로딩하지 않기에 충분히 작고, 반면에 8 MB의 데이터 블록 크기는 대부분 중앙 처리 유닛(central processing unit: CPU)의 사용량이 처리가 가능한 한 효율적이도록 하는 커널 시간(kernel time)이다.
단계 211, 213, 215를 참조하면, 시스템은 각각의 데이터의 블록이 단계 211에서 타겟 디지털 메모리로부터 판독됨에 따라, 검출된 이동식 메모리 디바이스(removable memory devices: RMD) 중 하나 상에 저장을 위해 이미징되어 할당되도록 처리한다. 할당은 계층적 대기열 시스템에 따라 결정된다. 각각의 이동식 메모리 디바이스는 저장될 데이터의 대기열을 갖는다. 8 MB의 바람직한 데이터 블록 크기가 출력 아이들링(idling)을 회피하기 위해 대기열 길이와 호환성이 있도록 선택된다. 단계 213에서, 판독되는 각각의 데이터의 블록이 최단 RMD 대기열에 할당된다. 각각의 데이터 블록은 따라서 저장을 위한 최소량의 데이터를 현재 갖는 RMD 및/또는 최대 속도를 갖는 RMD에 할당된다. 이는 다수의 이동식 메모리 디바이스를 가로질러 최대 저장 효율을 보장한다. 큐잉 시스템은 동적이고, 이에 의해 각각의 이동식 메모리 디바이스의 대기열이 계속 모니터링된다.
도 2b를 참조하면, 각각의 데이터 블록의 할당은 시스템이 단계224에서 데이터 블록을 판독하기 전에 단계 222에서 시작한다. 단계 226에서, 시스템은 다음의 RMD 출력 디바이스를 선택하고, 단계 228에서 이것이 최단 대기열을 갖는 디바이스인지 여부를 문의한다. 단계 230에서 디바이스가 최단 대기열을 갖는 것으로 검출되면, 데이터 블록은 그 대기열에 추가되는데, 즉 그 RMD 상에 저장된다. 그러나, 단계 228에서 RMD가 최단 대기열을 갖지 않으면, 시스템은 단계 226으로 이동하여 리스트 내의 다음의 RMD를 선택하고, 단계 228에서 이 디바이스가 최단 대기열을 갖는지를 재차 문의한다.
시스템이 최단 대기열을 갖는 RMD에 도달하기 위해 필요한 단계들을 반복할 때, 단계 230에서 대기열이 데이터 블록의 효율적인 저장을 허용하기 위해 충분히 짧은지 여부를 점검한다. 대기열이 충분히 짧지 않고 데이터 블록의 추가가 시스템의 효율에 영향을 미칠 가능성이 있으면, 단계 232에서 데이터 블록의 추가는 지연된다. 대기열이 충분히 짧으면, 단계 234에서 데이트 블록이 선택된 RMD의 대기열에 추가된다. 단계 236에서, 동적 큐잉 시스템은 모든 데이터가 이미징되어 저장될 때까지 동일한 방식으로 각각의 데이터 블록을 계속 할당하고, 단계 238에서 방법이 종료한다.
도 2a를 참조하면, 타겟 컴퓨터의 디지털 메모리의 판독, 이미징 및 저장은 판독될 데이터가 더 이상 없을 때까지 계속되고, 단계 215에서 파일의 종단(end of the file: EOF)이 검출된다. 따라서, 이미징 프로세스는 전체 타겟 메모리가 이미징될 때까지 계속되고, 단계 220에서 방법이 종료한다.
판독 및 이미징 저장 프로세스(211, 213, 215)와 동시에, 단계 217에서 시스템은 임의의 데이터 저장 디바이스(RMD)가 충만 상태인지를 검출한다. 충만 상태의 데이터 저장 디바이스의 검출이 시스템 디스플레이를 거쳐 사용자에게 지시될 것이다. 이는 충만 상태의 디바이스를 제거하고 저장을 위한 용량을 갖는 새로운 RMD로 교체하는 기회를 사용자에게 제공한다. 시스템은 또한 단계 217에서, 새로운 데이터 저장 디바이스가 삽입되었는지 또는 충만 상태의 데이터 저장 디바이스가 타겟 컴퓨터로부터 제거되거나 분리되었는지를 검출한다. 시스템은 단일의 이미징 프로세스에서 데이터 저장 디바이스의 제거/분리 또는 삽입/접속을 제한하지 않는다. 따라서, 본 발명의 시스템에 의해 이미징될 수 있는 데이터의 양에 제한이 없다.
도 2a에 도시된 바와 같이, 이미징 프로세스는 타겟 컴퓨터의 전체 디지털 메모리가 이미징될 때까지 계속된다. 이미징 중에, 이미징되어 있는 데이터의 체적 및 이미징될 잔여량의 데이터가 모니터링되어 메모리 용량의 임의의 부족 또는 데이터 전송 속도의 임의의 결과적인 감소를 회피한다. 본 발명의 다른 실시예에서, "판독 스로틀링(read throttling)" 및 "가비지 수집(garbage collection)"이 이미징 프로세스 중의 간격에서 개시되고 여기서 이러한 프로세스는 가장 효율적인 것으로 나타나 있다. 판독 스로틀링은 최단의 RMD 출력 대기열이 20개의 아이템을 포함할 때마다 개시된다. 가비지 수집은 새로운 버퍼가 운영 체제에 의해 공급될 수 없을 때, 동시에 행해진다.
단계 220에서, 이미징 프로세스가 완료될 때, 수집되어 있는 데이터는 이미지 파일로 변환될 것이다. 사용자 인터페이스는 변환을 개시하도록 사용자를 프롬프팅하기 위해 적합한 디스플레이를 제공한다.
도 2a 및 단계 211을 참조하면, 이미징될 타겟 데이터가 블록에서 판독된다. 각각의 데이터 블록은 4096 바이트의 헤더, 이어서 이미징될 데이터 세그먼트를 포함한다. 헤더는 이하의 필드를 갖는 문자열로서 정보를 포함한다:
i) 데이터 블록의 시퀀스 번호: (0, 1, 2, 3....n);
ii) 데이터 길이: 데이터 세그먼트의 바이트 카운트;
iii) 압축값: 이 값이 0이면, 데이터는 미압축되어 있다. 이 값이 0이 아니면, 데이터 세그먼트를 압축하는데 사용된 기술을 칭한다. 본 발명의 바람직한 실시예에서, 압축은 "gzip" 알고리즘으로 수행된다.
iv) 소스 어드레스: 데이터 블록이 그로부터 추출되었던 타겟 메모리 디바이스 상의 어드레스;
v) 시간 스탬프: 데이터 이미징이 시작될 때를 지시함;
vi) 데이터 수집 실행의 고유 식별자: 데이터 수집 프로세스의 시작시에 발생된 16-바이트 전역 고유 식별자(Globally Unique Identifier: GUID).
시퀀스 번호 및 압축값은 단계 220에서 이미징된 데이터를 재조합하여 타겟 디지털 메모리의 이미지 파일을 형성할 때 사용된다. 시간 스탬프 및 고유 식별자는 이미징된 데이터가 유효화될 수 있게 한다.
본 발명의 대안 실시예에서, 사용자가 디지털 메모리 이미징 시스템을 갖는 "호스트" 디바이스로의 액세스를 갖지 않으면, 방법은 단계 201에 앞서 부가의 단계를 포함하고, 여기서 블랭크 USB 디바이스가 타겟 컴퓨터에 접속되고, 디지털 메모리 이미징 시스템이 인터넷을 거쳐 다운로드된다. 어떻게 시스템을 다운로드하는지에 대한 인스트럭션이 USB에 별도로 제공되고 또는 대안적으로 간략한 인스트럭션이 다운로드로의 액세스에 관하여 USB에 제공된다. 바람직한 실시예에서, 사용자는 USB 디바이스 상에 제공된 라이센스를 거쳐 시스템을 다운로드하기 위한 승인을 제공받거나 시스템으로 액세스하도록 인가될 수 있을 것으로 고려된다. 사용자는 이어서 이들의 요구에 따라 다수의 이동식 데이터 저장 디바이스를 유효화하는 것이 가능할 것이다.
부록 1에 나타낸 시험 결과에 의해 예시되는 바와 같이, 이미징 속도는 타겟 머신에 접속된 다수의 데이터 저장 디바이스를 가로질러 이미징 프로세스를 효과적으로 분할함으로써 증가된다. 데이터 저장 디바이스는 임의의 조합으로 이하의 포트들: USB 1.0; USB 2.0; USB 3.0; PCIe; 카드 슬롯: SD 카드 슬롯; Apple(RTM) FireWire(RTM) 및 Apple(RTM) Thunderbolt(RTM)의 각각 내에 삽입될 수 있다. 다수의 데이터 저장 디바이스가 타겟 머신에 접속된 상태에서, 드라이브 이미지는 상이한 포트 및 따라서 상이한 메인보드 BUS 채널을 가로질러 효과적으로 분할된다. 이는 이미징의 속도 및 효율을 증가시키고 또한 타겟 드라이브의 이미지가 다수의 데이터 저장 디바이스를 가로질러 분할될 수 있게 한다.
도 3 및 본 발명의 이미징 시스템의 대안 실시예를 참조하면, 방법이 요구되는 바와 같이 프로세스를 시작 및 정지하는 옵션을 포함하기 때문에, 전술된 방법은 다수의 세션을 걸쳐 수행될 수 있다. 도 3에 도시된 대안 실시예는 사용자가 이미징 방법을 재개하기 전에, 즉 시스템이 "온 홀드(on hold)" 상태로 되기 전에, 정지하고 이미징 결과를 저장할 수 있게 한다. 단계 300에서, 이미징 프로세스가 시작되고, 단계 301에서, 시스템은 이미징되는 현재 위치에 대응하는 로그 파일을 생성하고, 위치가 로그 파일에 저장된다. 단계 302에서, 시스템은 마스터 이미지 파일을 생성하고, 여기에 이미징된 데이터가 저장될 것이다. 단계 303에서, 이미징이 개시되기 전에, 디지털 메모리의 현재 위치가 시작되도록 설정된다.
단계 304에서, 이미징 프로세스는 타겟 컴퓨터의 디지털 메모리를 이미징하기 시작하고, 이미징 결과는 작업 파일 내에 저장된다. 이미징이 진행함에 따라 디지털 메모리의 위치는 증분되고 인덱싱되고, 로그 파일이 업데이트된다. 예를 들어, 윈도우 환경에서, 디스크 드라이브 또는 고체 상태 디바이스(SSD) 상의 각각의 바이트는 각각의 바이트를 RAM 내에 인덱싱하는데 사용되는 다수의 개별 범위에서 연속적인 숫자를 갖고 0으로부터 연속적인 숫자로서 인덱싱된다. 단계 305에서, 시스템은 이미징 프로세스가 중단되는지 여부를 모니터링한다. 중단이 발생하면, 단계 306에서 시스템은 프로세스가 재개되었는지 여부를 모니터링한다. 중단 후에, 단계 307에서, 프로세스가 재개될 때, 로그 파일은 중단점으로부터 이미징 프로세스를 재개하도록 시스템에 지시하는데 사용된다.
이미징 방법은 단계 308에서, 작업 이미지 파일이 충만 상태일 때까지 계속된다. 단계 309에서, 작업 파일은 마스터 이미지 파일에 추가되고 작업 이미지 파일은 삭제된다. 단계 310은 디지털 메모리 위치를 증분하고, 작업 파일은 이에 따라 업데이트된다. 작업 파일을 업데이트하고 중단을 점검하는 이 프로세스는, 단계 311에서 시스템이 타겟 디지털 메모리의 종단에 도달하거나 사용자가 프로세스를 정지시킬 때까지 계속된다. 프로세스는 단계 312에서 종료한다. 사용자가 프로세스를 정지하면, 현재 작업 파일 내의 이미지 결과는 무시되고 사용자는 단지 타겟 디지털 메모리의 부분만을 이미징할 것이다. 다수의 마스터 이미지 파일이 요구되면 사용될 수 있고, 마스터 이미지 파일이 사전 결정된 크기에 도달할 때 새로운 마스터 이미지 파일이 생성된다. 이는 사용자가 임의의 하나의 세션에서 디지털 메모리의 부분을 수집하고 다수의 세션에 걸쳐 전체 디지털 메모리를 이미징할 수 있게 한다.
전술된 실시예는 단지 예로서 제공되어 있고, 당 기술 분야의 숙련자는 다수의 변형이 청구범위의 범주로부터 벗어나지 않고 그에 이루어질 수 있다는 것을 자연적으로 이해할 수 있을 것이다.
본 명세서에 제공된 임의의 값들은 예시적인 것이고, 결코 본 발명의 제한은 아니다. 본 명세서를 숙독할 때, 당 기술 분야의 숙련자는 디지털 메모리 이미징 시스템 및 방법을 구현하는데 사용될 수 있는 광범위한 다른 파라미터를 이해할 수 있을 것이다. 모든 이러한 대안 및 수정은 청구범위에 의해 규정된 바와 같은 본 발명의 범주 내에 고려된다.
본 발명의 수많은 수정 및 대안 실시예가 상기 설명의 견지에서 당 기술 분야의 숙련자들에게 명백할 것이다. 이에 따라, 본 설명은 단지 예시적인 것으로 고려되어야 하고, 본 발명을 수행하기 위한 최선의 모드를 당 기술 분야의 숙련자들에게 교시하기 위한 것이다. 본 발명의 상세는 본 발명의 사상으로부터 벗어나지 않고 실질적으로 변경될 수도 있고, 첨부된 청구범위의 범주 내에 있는 모든 수정의 배타적인 사용이 보류된다. 본 발명은 첨부된 청구범위 및 적용가능한 법규에 의해 요구되는 범위에서만 제한되도록 의도된다.
이하의 청구범위는 본 명세서에 설명된 본 발명의 모든 일반적인 그리고 특정한 특징과, 언어의 측면에서, 그 사이에 있는 것으로 일컬을 수도 있는 본 발명의 범주의 모든 설명을 커버하기 위한 것이라는 것이 또한 이해되어야 한다.
부록 1
비교에 의해, 본 발명의 향상된 속도 및 효율을 예시하기 위해, 표 1에 설명된 것은, 드라이브가 Guidance Software, Inc.에 의해 제공된 Tableau TD1 Forensic Duplicator에 연결되어 있는 상태에서, AccessData® Group에 의해 제공된 FTK Imager v3 1.3.2 Forensic Toolkit® Imager인, 공지의 이미징 기술을 사용하는 단일의 USB 포트를 사용하여 타겟 하드 드라이브를 이미징하기 위해 소요된 시간의 실험 데이터이다.
| 랩탑 | 하드 드라이브 |
CPU | RAM (GB) |
Tableau TD1 Drive Imager |
FTK Imager (USB 2.0) |
FTK Imager (USB 2.0) |
|||
| 이미징을 위한 시간 (mins) |
속도 (GB/ min) |
시간 (min) |
속도 (GB/ min) |
시간 (min) |
속도 (GB/ min) |
||||
| 시험 1 | |||||||||
| Dell Latitude(RTM) E6230 |
Hitachi HTS7250 32A7E63 0 320 GB 7200 rpm |
Core i5 3380M 프로세서 |
4 | 76 | 4.211 | 230.05 | 1.391 | 82.13 | 3.896 |
| 시험 2 | |||||||||
| Dell Allenwa re M18x |
Samsung PM830 256 GB SSD |
Core i7 3920xM 프로세서 @ 3.1 GHz |
16 | 50.55 | 5.064 | USB 2.0 포트 없음 |
40.85 | 6.267 | |
| 시험 3 | |||||||||
| Dell Vostro 3450 |
Samsung HM320HJ 320 GB 7200 rpm |
Core i5 2410M 프로세서 @ 2.3 GHz |
4 | 77.80 | 4.113 | 224 | 1.429 | 84.58 | 3.783 |
표 2는 다양한 포트가 타겟 머신에 접속된 데이터 저장 디바이스의 조합을 사용하기 위해 사용되고 있는 상태에서, 본 발명의 디지털 메모리 이미징 시스템 및 방법을 사용하여 타겟 하드 드라이브를 이미징하는데 소요된 시간의 실험 데이터를 설명한다.
| 랩탑 | 하드 드라이브 |
CPU | RAM (GB) |
성능 랩탑 온 |
성능 랩탑 오프 |
|||
| 이미징을 위한 시간 (mins) |
속도 (GB/ min) |
시간 (min) |
속도 (GB/ min) |
사용된 포트 |
||||
| 시험 1 | ||||||||
| Dell Latitude(RTM) E6230 |
Hitachi HTS7250 32A7E63 0 320 GB 7200 rpm |
Core i5 3380M 프로세서 |
4 | 75.98 | 4.212 | 69.52 | 4.064 | 1 x USB 2.0 2 x USB 3.0 |
| 시험 2 | ||||||||
| Dell Allenwa re M18x |
Samsung PM830 256 GB SSD |
Core i7 3920xM 프로세서 @ 3.1 GHz |
16 | 11.33 | 22.59 | 13.52 | 18.94 | 2 x USB 3.0 1 x eSATA |
| 시험 3 | ||||||||
| Dell Vostro 3450 |
Samsung HM320HJ 320 GB 7200 rpm |
Core i5 2410M 프로세서 @ 2.3 GHz |
4 | 58.52 | 5.469 | 73.00 | 4.835 | 2 x USB 2.0 2 x USB 3.0 1 x PCIe USB 3.0 카드 |
시험 결과의 코멘트
본 발명은 속도를 증가시키고 데이터 이미징에 소요된 시간을 감소시킨다는 것을 알 수 있다.
고체 상태 디바이스(SSD)에 의해, 본 발명에 의해 제공된 이미징의 속도의 증가는 상당하다. 본 명세서에 상세히 설명된 시험은 공지의 디바이스보다 대략 4 내지 5배 더 고속인 이미징 속도를 나타낸다.
SSD 드라이브에 대해 수행된 시험 2를 참조하면, 종래 기술의 TD1 시스템은 5.064 GB/min의 속도에서 50분 33초에 드라이브를 이미징하였고; 종래 기술의 FTK 시스템은 6.267 GB/min의 속도에서 40분 51초에 드라이브를 이미징하였다. 본 발명의 이미징 시스템은 22.59 GB/min의 훨씬 더 고속에서 11분 20초에 드라이브를 이미징하였다.
이미징 속도의 증가는 본 발명이 드라이브가 타겟 컴퓨터로부터 제거되도록 요구되지 않기 때문에, 즉 본 발명의 시스템은 컴퓨터 내에 적소에 남아 있는 SSD 드라이브로 타겟 컴퓨터의 디지털 메모리의 이미징을 허용하기 때문에, 절약된 시간에 추가된다. 스피닝 드라이브, 즉 비-SSD 드라이브의 이미징을 허용하기 위해, 종래 기술의 TD1 시스템은 하드 드라이브가 타겟 컴퓨터로부터 제거되고 이미징이 발생하게 하기 위해 TD1 이미저에 연결되는 것을 허용한다. 제거는 통상적으로 요구된 이미징 시간에 추가하여 적어도 20분이 소요된다. 드라이브는 이어서 그 제거/교체의 흔적을 남겨두지 않고 교체될 필요가 있다. 몇몇 컴퓨터 시스템은 이들의 하드 드라이브가 스크린 후방에 위치되거나 다른 액세스 불가능한 영역에 위치되거나 또는 실제로 무단 개봉 방지 시일을 가져 비밀 수사시에 제거/교체를 불가능하게 한다.
비-SSD, 플래터-기반 드라이브에 대해 수행된 시험 3을 참조하면, 종래 기술의 TD1 시스템은 4.113 GB/min의 속도에서 77분 48초에 드라이브를 이미징하였고, 타겟 컴퓨터로부터 드라이브의 제거 및 교체를 위해 40분이 요구되었다. 본 발명은 타겟 컴퓨터로부터 드라이브를 제거할 필요 없이 5.469 GB/min의 속도에서 58분 31초에 드라이브를 이미징하였다.
시험 3은 부가의 PCIe Express 카드의 추가가 USB 3.0 능력을 증가시키고 이미징의 속도 및 따라서 타겟 디바이스로부터 데이터 추출의 효율을 증가시키는 것을 또한 나타내고 있다.
결론적으로, 본 발명의 이미징 시스템 및 방법은 상당히 감소된 이미징 시간이 요구되도록 상당히 더 높은 이미징의 속도를 제공하는 것으로 나타나고 있다.
부록 2
타겟 디지털 메모리의 이미징을 최적화하기 위해, 다양한 판독 버퍼 크기 및 기록 버퍼 크기에 대한 전송 속도의 시험이 통상의 중간 범위 시스템에 수행되었다. 시스템은 8 GB 메모리, Western Digital "Green" 5400 RPM 디스크 및 4개의 USB 2.0 포트를 포함하였다. 각각의 시험은 단지 버퍼 크기만이 시험들 사이에 변경되는 상태로 동일한 머신 상에서 수행되었다. 이 시험의 결과는 [표 3]에 요약되어 있다.
시험 결과의 코멘트
이 시험으로부터, 판독 버퍼 크기가 기록 버퍼 크기의 배수이면 전송 속도가 만족스럽다는 결론이 도출되었다.
1: 타겟 컴퓨터 3: USB 1.0, 2.0 또는 3.0 드라이브
5: eSata 외장 드라이브 7: SD 및 SD 마이크로 카드
9: Firewire(RTM) 드라이브 11: Thunderbolt(RTM) 드라이브
13: PCI Express 외장 드라이브
5: eSata 외장 드라이브 7: SD 및 SD 마이크로 카드
9: Firewire(RTM) 드라이브 11: Thunderbolt(RTM) 드라이브
13: PCI Express 외장 드라이브
Claims (11)
- 타겟 컴퓨터(1)의 디지털 메모리를 이미징하기 위한 디지털 메모리 이미징 시스템으로서,
각각이 상기 타겟 컴퓨터(1)에 접속가능하도록 수용가능한 복수의 이동식 데이터 저장 디바이스(3,5,7,9,11,13)와,
상기 타겟 컴퓨터(1)의 디지털 메모리를 이미징하도록 구성된 이미징 수단과,
상기 이미징된 디지털 메모리를 일련의 데이터 블록으로서 상기 이동식 데이터 저장 디바이스(3,5,7,9,11,13) 중 2개 이상에 출력하기 위한 출력 수단과,
큐잉 시스템(queuing system)에 따라 상기 이미징된 디지털 메모리의 각각의 데이터 블록을 선택된 이동식 데이터 저장 디바이스(3,5,7,9,11,13)에 할당하도록 구성된 할당 수단을 포함하되,
각각의 이동식 데이터 저장 디바이스(3,5,7,9,11,13)는 계속 모니터링되는 저장할 데이터의 대기열(queue)을 가지며, 각각의 데이터 블록은 대기열에 최소량의 저장할 데이터를 갖는 이동식 데이터 저장 디바이스에 할당되는
디지털 메모리 이미징 시스템.
- 제 1 항에 있어서,
상기 복수의 이동식 데이터 저장 디바이스는 USB(3), eSata 외장 드라이브(5), SD 카드(7), SD 마이크로 카드(7)의 임의의 조합을 포함하는
디지털 메모리 이미징 시스템. - 제 1 항 또는 제 2 항에 있어서,
디스플레이 수단을 더 포함하는
디지털 메모리 이미징 시스템. - 제 1 항 또는 제 2 항에 있어서,
시퀀스 번호, 데이터 블록 길이, 소스 어드레스, 압축값, 시간 스탬프, 고유 식별자의 임의의 조합을 포함하는 헤더로 각각의 이미징된 데이터 블록을 라벨링하기 위한 라벨링 수단을 더 포함하는
디지털 메모리 이미징 시스템. - 제 1 항 또는 제 2 항에 있어서,
저장 수단을 더 포함하되,
상기 저장 수단은 상기 디지털 메모리의 이미징의 중단에 반응하여 상기 이미징된 디지털 메모리를 중단 지점까지 저장하는
디지털 메모리 이미징 시스템. - 제 1 항 또는 제 2 항에 있어서,
각각의 데이터 블록은 최소량의 저장할 데이터 및 최대 속도를 갖는 이동식 데이터 저장 디바이스에 할당되는
디지털 메모리 이미징 시스템. - 타겟 컴퓨터의 디지털 메모리를 이미징하기 위한 디지털 메모리 이미징 방법으로서,
상기 타겟 컴퓨터가 복수의 이동식 데이터 저장 디바이스 각각을 수용하도록 상기 복수의 이동식 데이터 저장 디바이스를 상기 타겟 컴퓨터에 연결하는 단계와,
상기 타겟 컴퓨터의 디지털 메모리를 이미징하는 단계(209,211)와,
상기 이미징된 디지털 메모리를 일련의 데이터 블록으로서 상기 이동식 데이터 저장 디바이스 중 2개 이상에 출력하는 단계와,
큐잉 시스템에 따라 상기 이미징된 디지털 메모리의 각각의 데이터 블록을 선택된 이동식 데이터 저장 디바이스에 할당하는 단계(213)를 포함하되,
각각의 이동식 데이터 저장 디바이스는 계속 모니터링되는 저장할 데이터의 대기열을 가지며, 상기 이미징된 디지털 메모리의 각각의 데이터 블록은 대기열에 최소량의 저장할 데이터를 갖는 이동식 데이터 저장 디바이스에 할당되는
디지털 메모리 이미징 방법. - 제 7 항에 있어서,
이미징 시스템에 관한 진행 정보를 표시하는 단계를 더 포함하는
디지털 메모리 이미징 방법. - 제 7 항 또는 제 8 항에 있어서,
시퀀스 번호, 데이터 블록 길이, 소스 어드레스, 압축값, 시간 스탬프, 고유 식별자의 임의의 조합을 포함하는 헤더로 각각의 이미징된 데이터 블록을 라벨링하는 단계(213)를 더 포함하는
디지털 메모리 이미징 방법. - 제 7 항 또는 제 8 항에 있어서,
상기 이미징된 디지털 메모리를 중단 지점에서 저장하는 단계(304,305,307,309)를 더 포함하는
디지털 메모리 이미징 방법. - 제 7 항 또는 제 8 항에 있어서,
상기 이미징된 디지털 메모리의 각각의 데이터 블록은 각각의 이동식 데이터 저장 디바이스 상에서 이용 가능한 여유 메모리 및 상기 이동식 데이터 저장 디바이스의 속도에 따라 할당되는
디지털 메모리 이미징 방법.
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1223194.0 | 2012-12-21 | ||
| GBGB1223194.0A GB201223194D0 (en) | 2012-12-21 | 2012-12-21 | Starting and stopping a digital memory imaging process over multiple sessions |
| GBGB1300690.3A GB201300690D0 (en) | 2013-01-15 | 2013-01-15 | Creation of a digital memory image over multiple removable memory devices |
| GB1300690.3 | 2013-01-15 | ||
| GB1317136.8A GB2503600B (en) | 2012-12-21 | 2013-09-26 | Digital memory imaging system and method |
| GB1317136.8 | 2013-09-26 | ||
| PCT/GB2013/053217 WO2014096775A1 (en) | 2012-12-21 | 2013-12-05 | Digital memory imaging system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150110542A KR20150110542A (ko) | 2015-10-02 |
| KR101975634B1 true KR101975634B1 (ko) | 2019-05-07 |
Family
ID=49553485
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020157019902A KR101975634B1 (ko) | 2012-12-21 | 2013-12-05 | 디지털 메모리 이미징 시스템 및 방법 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US9977608B2 (ko) |
| EP (1) | EP2941688B1 (ko) |
| KR (1) | KR101975634B1 (ko) |
| AU (1) | AU2013366156B2 (ko) |
| CA (1) | CA2895967C (ko) |
| DK (1) | DK2941688T3 (ko) |
| ES (1) | ES2683218T3 (ko) |
| GB (1) | GB2503600B (ko) |
| HU (1) | HUE039084T2 (ko) |
| IL (1) | IL239515B (ko) |
| PL (1) | PL2941688T3 (ko) |
| RU (1) | RU2643472C2 (ko) |
| WO (1) | WO2014096775A1 (ko) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9672183B2 (en) * | 2014-12-01 | 2017-06-06 | Western Digital Technologies, Inc. | Integration of downstream ports in a multiple interface device |
| GB2539384B (en) | 2015-06-01 | 2022-01-26 | Mobile Content Man Solutions Limited | Data search method and device |
| EP4017084A1 (en) * | 2015-11-16 | 2022-06-22 | Huawei Technologies Co., Ltd. | Cell measurement reporting method and user equipment |
| WO2020037526A1 (zh) * | 2018-08-22 | 2020-02-27 | 深圳市大疆创新科技有限公司 | 固态硬盘的存储性能的评估方法、装置和图像存储系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040260733A1 (en) | 2003-06-23 | 2004-12-23 | Adelstein Frank N. | Remote collection of computer forensic evidence |
| US20110191533A1 (en) | 2010-02-02 | 2011-08-04 | Legal Digital Services | Digital forensic acquisition kit and methods of use thereof |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5241668A (en) * | 1992-04-20 | 1993-08-31 | International Business Machines Corporation | Method and system for automated termination and resumption in a time zero backup copy process |
| JPH1125574A (ja) * | 1997-07-02 | 1999-01-29 | Hitachi Ltd | 並列書き込みまたは並列読み出し可能な記録再生制御装置 |
| US7181560B1 (en) * | 2001-12-21 | 2007-02-20 | Joseph Grand | Method and apparatus for preserving computer memory using expansion card |
| US20030126247A1 (en) * | 2002-01-02 | 2003-07-03 | Exanet Ltd. | Apparatus and method for file backup using multiple backup devices |
| US7272687B2 (en) * | 2005-02-01 | 2007-09-18 | Lsi Corporation | Cache redundancy for LSI raid controllers |
| US7644138B2 (en) * | 2005-12-06 | 2010-01-05 | David Sun | Forensics tool for examination and recovery and computer data |
| US8069341B2 (en) * | 2007-06-29 | 2011-11-29 | Microsoft Corporation | Unified provisioning of physical and virtual images |
| US20090164522A1 (en) * | 2007-12-20 | 2009-06-25 | E-Fense, Inc. | Computer forensics, e-discovery and incident response methods and systems |
| US20110307451A1 (en) * | 2010-06-10 | 2011-12-15 | EnduraData, Inc, | System and method for distributed objects storage, management, archival, searching, retrieval and mining in private and public clouds and deep invisible webs |
| US9229809B2 (en) * | 2011-09-11 | 2016-01-05 | Microsoft Technology Licensing Llc | Nonvolatile media journaling of verified data sets |
-
2013
- 2013-09-26 GB GB1317136.8A patent/GB2503600B/en active Active
- 2013-12-05 EP EP13815102.2A patent/EP2941688B1/en active Active
- 2013-12-05 HU HUE13815102A patent/HUE039084T2/hu unknown
- 2013-12-05 ES ES13815102.2T patent/ES2683218T3/es active Active
- 2013-12-05 AU AU2013366156A patent/AU2013366156B2/en active Active
- 2013-12-05 US US14/648,806 patent/US9977608B2/en active Active
- 2013-12-05 PL PL13815102T patent/PL2941688T3/pl unknown
- 2013-12-05 WO PCT/GB2013/053217 patent/WO2014096775A1/en active Application Filing
- 2013-12-05 RU RU2015128878A patent/RU2643472C2/ru active
- 2013-12-05 DK DK13815102.2T patent/DK2941688T3/en active
- 2013-12-05 CA CA2895967A patent/CA2895967C/en active Active
- 2013-12-05 KR KR1020157019902A patent/KR101975634B1/ko active IP Right Grant
-
2015
- 2015-06-18 IL IL239515A patent/IL239515B/en active IP Right Grant
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040260733A1 (en) | 2003-06-23 | 2004-12-23 | Adelstein Frank N. | Remote collection of computer forensic evidence |
| US20110191533A1 (en) | 2010-02-02 | 2011-08-04 | Legal Digital Services | Digital forensic acquisition kit and methods of use thereof |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2683218T3 (es) | 2018-09-25 |
| AU2013366156B2 (en) | 2019-02-21 |
| IL239515B (en) | 2018-04-30 |
| US9977608B2 (en) | 2018-05-22 |
| DK2941688T3 (en) | 2018-08-13 |
| EP2941688B1 (en) | 2018-05-30 |
| IL239515A0 (en) | 2015-08-31 |
| GB2503600B (en) | 2014-05-14 |
| GB2503600A (en) | 2014-01-01 |
| WO2014096775A1 (en) | 2014-06-26 |
| HUE039084T2 (hu) | 2018-12-28 |
| CA2895967C (en) | 2021-01-12 |
| CA2895967A1 (en) | 2014-06-26 |
| RU2015128878A (ru) | 2017-01-25 |
| US20150331618A1 (en) | 2015-11-19 |
| AU2013366156A1 (en) | 2015-07-30 |
| EP2941688A1 (en) | 2015-11-11 |
| GB201317136D0 (en) | 2013-11-06 |
| PL2941688T3 (pl) | 2018-10-31 |
| KR20150110542A (ko) | 2015-10-02 |
| RU2643472C2 (ru) | 2018-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2840495B1 (en) | Container-based processing method and apparatus | |
| US10289694B1 (en) | Method and system for restoring encrypted files from a virtual machine image | |
| US8631203B2 (en) | Management of external memory functioning as virtual cache | |
| US8793795B1 (en) | Computer forensic tool | |
| US9244960B2 (en) | Metadata-driven version management service in pervasive environment | |
| KR101975634B1 (ko) | 디지털 메모리 이미징 시스템 및 방법 | |
| TW201227341A (en) | Remote management systems and methods for servers, and computer program products thereof | |
| EP2430580A1 (en) | System and method for digital forensic triage | |
| JPWO2010079772A1 (ja) | シンクライアントシステム、シンクライアント実施方法、及びシンクライアント用プログラム | |
| JP2014515858A (ja) | 実行中の命令を再結合する方法および装置 | |
| CH717425A2 (it) | Sistema e metodo per il ripristino selettivo di un sistema informatico a uno stato operativo. | |
| US20150341371A1 (en) | Systems and methods to provide secure storage | |
| CN105657309A (zh) | 一种执法记录仪多路数据采集方法及系统 | |
| CA2450334A1 (en) | Accessing a protected area of a storage device | |
| CN1677302A (zh) | 用于获取资源使用日志的方法和系统以及计算机产品 | |
| CN107622207B (zh) | 加密系统级数据结构 | |
| CN109327526B (zh) | 基于云存储的便携式存储设备 | |
| US9929896B2 (en) | Customizable serviceability mechanism | |
| Yang et al. | Fast deployment of computer forensics with USBs | |
| Votipka et al. | Passe-partout: A general collection methodology for Android devices | |
| CN117135189A (zh) | 服务器的访问方法及装置、存储介质、电子设备 | |
| US8984336B1 (en) | Systems and methods for performing first failure data captures | |
| JP2004038232A (ja) | 情報管理装置、情報処理装置及びそれらの制御方法、情報管理システム、プログラム | |
| CN109491600B (zh) | 基于云存储的便携式存储设备控制方法 | |
| US8935494B2 (en) | Backing up an image in a computing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |