좋은 주말입니다 :)
SSD에서 파일을 삭제했을 때 복구 불가할 정도로 trim이 되는지 궁금해서 질문드립니다.
보통 HDD의 경우에는 전뮨 소프트웨어로 제로필을 해야 복구가 안 되잖아요.
그런데 SSD는 이런 알고리즘이 필요없다고 들어서요.
그렇다면 별도의 조치 없이도 파일이 완전 삭제 되나요?
여기서 완전 삭제라는건 포렌식 툴로도 복구가 불가한갈 말씀 드렸습니다.
감사합니다.
SSD에서 파일을 삭제했을 때 복구 불가할 정도로 trim이 되는지 궁금해서 질문드립니다.
보통 HDD의 경우에는 전뮨 소프트웨어로 제로필을 해야 복구가 안 되잖아요.
그런데 SSD는 이런 알고리즘이 필요없다고 들어서요.
그렇다면 별도의 조치 없이도 파일이 완전 삭제 되나요?
여기서 완전 삭제라는건 포렌식 툴로도 복구가 불가한갈 말씀 드렸습니다.
감사합니다.
답변 감사합니다!
윗분 말씀데로 쓸데없는 파일들로 용량만큼 꽉 채워넣고 지우고 이렇게 덮어쓰기를 여러번 하게되면 웬만해선 복구가 불가능하다고 알고있네요
우선 이거 읽어보셔서 TRIM왜 쓰는 지 보세요. : http://cappleblog.co.kr/503
저걸 보시면 파일을 복구하는데는 두가지 시나리오가 나올 수 있습니다.
1. TRIM명령이후 스스디가 실제로 해당 블록을 지운 뒤 복구 시도.
2. TRIM명령 이후 스스디가 실제로 해당 블록을 삭제하기 전에 복구 시도
저 시나리오에 대한 포렌식 가능성은 다음과 같습니다.
1. 게임 끝입니다. 하드디스크는 지우기라는 작업이 없고, 재기록중에 물리적으로 흔적이 남기때문에 그걸 이용해서 포렌삭을 합니다. 그걸 방지하려면 wiping(알고리즘이라봤자 특별한거없고 걍 무식하게 몇번씩이고 반복 재기록해서 유추 못하게 하는겁니다 미군 규격 와이핑 마저 그래요.)을 하는거고요. 스스디는 기록에 그런 흔적을 거의 남기지 않는데다가, 물리적으로 포렌식을 하려면 메모리찹을 떼어내서 메모리칩 내부를 정말 분석해야하는데, 제조사마다, 각제품들마다 구조가 천차만별이고 하드디스크에 비해 엄청나게 복접허고 정밀하기 때문에 현제 스스디 전용 하드웨어 포렌식 장비는 없습니다.
2. 스스디마다 다릅니다. 우선 실제 TRIM 명령으로 인한 블록 지우기 작업은 컨트롤러에 의해서 진행이 되는데요, 컨트롤러가 좀 여유가 있을때 짬짬히 지우죠. 컨트롤러가 어떻게 어떻게 TRIM을 구현하느냐에 따라 달렸습니다. 블록 지우기 보장도에 따라 두가지가 잆어요.
2-1: 비확정적trim: 지울 블록에 trim 명령 이후 다시 해당 블록에 접근시, 블록이 지워져있는걸 보장안합니다.
위 기사를 보면 소프트웨어로 복구가 가능한걸 볼 수 있는데, 컨트롤러가 실제로 해당 블록을 지우기 전에 접근 시도해서 가능한겁니다. 근데, 단지 시간문제고요. 몇분지나면 컨트롤러가 다 지울겁니다.
2-2: 확정적trim (DRAT, DZAT): 지울 블록에 다시 접근시, 지워져있는걸 보장하거나(DRAT) 실제로 지워지기 이전에는 컨트롤러에 의해 0으로만 읽히게 됩니다(DZAT)
컨트롤러 내부알고리즘이 다시 접근하는 블럭들에게 우선적으로 삭제를 하는거죠. 이경우는 소프트웨어적으로 복구가 불가능하게 되죠. 요즘 스스디는 이쪽으로 가는 추세라는데요. 이놈들을 포렌식하려면 방법이 있는데, 블럭들 지우기 전에 컨트롤러 칩을 제거하는겁니다. 그래서 메모리칩만 컨트롤러 안통하고 바로 접근하면 원본을 볼 수 있죠. 이런 재주는 해당 스스디 제조사가 아니면 힘들겠죠...? 게다가 이것도 늦기전에 이런 조치취해야 복구가 가능한거고요.
결론: (구린 스스디나 컨트롤러 펌웨어가 오류가 있지 않은 이상) 어쨋든 싹다 거의 완벽하게, 복구 불가능할 수준으로 지웁니다. 시간 지나면요. 실수로 파일 지웠으면 즉각 전원 제거하고 조치취하지 않는 이상 지워져요. 이러니 지우는 파일 문서 보안 입장에서는 wiping 과정은 팔요없고 그냥 통째로 다시 쓰면 포렌식불가에요.
예외가 있다는데, raid를 묶으면 트립이 제대로 작동 안한다네요. 글고 암호화된 드라이브도 트림이 제대로 안되는듯하고...
https://articles.forensicfocus.com/2014/09/23/recovering-evidence-from-ssd-drives-in-2014-understanding-trim-garbage-collection-and-exclusions/
여기내용이랑 다른 사이트 몇개 참고했어용.
결론은 제가 특별히 신경쓰지 않아도 시간이 지나면 완전히 삭제가 된다는거네요. 언급하신 사이트도 찬찬히 읽어봐야겠습니다!