[포렌식 용어] 2. 하드 드라이브 구조

2. 하드 드라이브 구조

 

​

(1) 드라이브 기하 구조(Drive Geometry)

 물리적 드리아브는 일반적으로 빠르게 회전하는 플래터 몇 장으로 구성되며, 플래터의 양쪽 면에는 읽기/ 쓰기 헤드 집합이 있다. 각 플래터는 트랙이라고 하는 동심원의 집합으로 구성되어 있다. 각 섹터는 바이트의 집합으로 구성된다. 이러한 플래터, 섹터, 트랙의 개수와 위치를 드라이브 기하 구조라고 부른다.

​

(2) 실린더(Cylinder)

실린더는 트랙과 마찬가지로 논리적인 용어이며, 하드웨어의 물리적인 부분을 뜻하는 말이 아니다. 즉, 디스크 드라이브를 물리적으로 열어서 "실린더"를 찾아 볼 수 없다는 뜻이다.

실린더는 여러 장의 플래터의 양쪽 면에서 헤드의 위치가 동일한 트랙의 집합을 뜻한다. 즉 가상으로는 원(플래터)의 중심에서 같은 거리에 있는 트랙으로 이루어진 원통을 생각하면 된다. 드라이브에 헤드가 여러 개가 있더라도, 디스크를 액세스할 때는 여러 개 헤드가 동시에 함께 움직이기 때문에, 실제로는 매우 큰 트랙 하나인 것처럼 한번에 한 영역만 액세스할 수 있다. 즉, 같은 실린더에 있더라도 물리적으로 서로 다른 위치에서 데이터를 동시에 읽을 수 없다.

​

(3) 헤드

하드 디스크 드라이브의 각 플래터 양쪽 면에는 헤드가 하나씩 있다. 헤드는 플래터 표면과 매우 가까이 있으며, 플래터에서 데이터를 읽거나 플래터에 데이터를 기록한다.

헤드는 보통 암(arm)끝에 달려 있으며, 헤드 암(arm)은 헤드스택 부품에 달려 있다. 보통, 모든 헤드는 함께 움직이며, 한번에 논리적 트랙하나만 액세스할 수 있다. 헤드는 0 번부터 차례로 번호가 매겨져 있다.

​

(4) 섹터

섹터는 트랙 속에 있는 바이트의 그룹이며, 드라이브에서 한번에 데이터에 액세스하는 최소 단위(바이트 그룹)이다. 각 트랙은 보통 수시벵서 수백 섹터로 구성된다.

섹터 내의 바이트 수는 달라질 수 있으며, 보통은 항상 512 바이트이다. CDROM은 보통 한 섹터가 2048 바이트로 구성된다.(이 경우에 보통 에러 체크 및 보정용 수백 바이트가 포함되지 않는다.) 섹터는 트랙 속에서 번호가 매겨지며, 1 부터 시작한다. 번호는 매 섹터마다 독립적이다. 즉,"트랙 0, 섹터 1"과 "트랙5 섹터 1"은 다른 섹터를 참조한다.

 

​

(5) 트랙

디스크의 각 플래터는 트랙이라고 하는 얇은 원형 띠로 구성된다.(가상적으로 육상 경기장 트랙을 생각하면 된다.) 트랙과 관련해서는 물리적 구조는 없다. 즉 논리적인 개념이다. 트랙은 디스크를 Low Lever Format 할 때 만들어 진다.

트랙도 0 번부터 시작하여 순차적으로 증가하는 번호를 매 트랙마다 부여한다. 제일 바깥쪽 트랙이 0 번 트랙이며 안쪽으로 올수록 번호가 1 씩 증가한다.

 

​

(6) 절대 섹터

초기 하드 디스크는 실린더 번호, 헤드 번호, 섹터 번호를 포함하고 있었으며, 이 번호들은 드라이브에 실제로 존재하는 값이었다. BIOS 는 이 값들을 이용하여 디스크 컨트롤러에 직접 액세스할 수 있었으며, 절대 섹터 번호를 C-H-S 로 변환하여 디스크에 액세스하여 읽기/쓰기 작업을 수행할 수 있었다. 현대에는 디스크 용량이 예측하기 어려울 정도로 기하급수적으로 증가하였기 때문에, 디스크 제조자와 소프트웨어 개발자들은 실린더 번호, 헤드 번호, 섹터 번호를 변경하여야만, 증가한 여분의 디스크 공간에 액세스할 수 있게 되었다.

오늘날, 실린더 번호, 헤드 번호, 섹터 번호는 보통 가상적인 번호이며, 실제 디스크구조와 하드웨어를 직접 참조하는 번호가 아니다. 이 번호는 BIOS 가 제일 처음 해석한 다음, Low Lelver 디스크 디바이스 드라이버가 해석하고, 그 다음 드라이브 하드웨어가 해석함으로써 실제 미디어에 액세스가 가능해 진다. 데이터가 정확하게 디스크 어느 위치에 물리적으로 저장되는지 알려는 시도는 스스로를 지치게 만들 뿐이며, 차이도 거의 없다.

운 좋게도, 주소를 통해 액세스되는 순서는 잘 정의되어 있다. 0 에서 N-1 까지 순차적으로 번호가 정해지며, N 은 소프트웨어에서 주소로 액세스할 수 있는 섹터의 전체 개수이다.

일부 디스크 유틸리티는 실린더-헤더-섹터 수를 리포팅해 준다. 그러나 새로운 BIOS 확장 표기법은 이런 디스크 유틸리티의 기능을 무용지물로 만들어 버린다. 또한, 실제 적용에 있어서는 섹터를 3 으로 액세스하는 것보다 1 로 액세스 하는 것이 더 쉽다.

인케이스는 새로운 확장 표기법을 따라서, 전체 드라이브가 0 번부터 시작하는 섹터의 거대한 연속 집합으로 가정하고 액세스한다. 물리적 디스크 위치를 확인할 때, 인케이스는 다른 디스크 유틸리티와 호환되는 CHS 번호를 출력한다.

 

​

(7) 플래터

플래터는 하드 드라이브에 실제로 데이터가 저장되는 자기 디스크이다. 현대의 하드 드라이브는 일반적으로 플래터가 2 장이며, 헤드는 플래터에서 데이터 읽기/쓰기 작업을 동시에 수행한다.

 

​

(8) 드라이브, 디스크, 볼륨

"볼륨", "드라이브","디스크" 라는 용어는 종종 여러 문서에서 서로 바꿔서도 사용한다. 인케이스에서 사용할 때, 정확하게 서로 간에 어떤 의미의 차이가 있는지 반드시 알아야 한다.

우선 "디스크" 는 실제로 눈에 보이고 손으로도 잡을 수 있는 물리적인 실제하드웨어를 뜻한다. 이런 것의 예로는 플로피 디스크, 하드 디스크, ZIP 디스크 등을 들 수 있다.

"볼륨" 은 마운트된 파티션을 뜻한다. 어떤 경우에는 "디스크" 에 "볼륨" 이 하나만 존재할 수 있다. 예를 들면, 플로피나 Zip 디스크가 그렇다. 파티션을 여러 개로 분할한 하드 디스크에는 "볼륨"이 여러 개 졵한다. 볼륨이라는 것은 개념적인 것이며, 물리적인 장치가 아니다. 초창기 PC 디스크에는 볼륨이 하나만 (예로 "C") 만들어 졌다. 그러나 드라이브 크기가 커지면서, 단일 디스크를 여러 조각으로 볼륨을 나누는 것이 편리해 졌다. 디스크 하나에 이런 볼륨의 여러개 (C ~ Z 까지 최대 24 개)를 만들 수 있으며, 도스에서는 "C", "D", "E"​ 등의 드라이브로 보인다.