What is Cyber Forensics ? Part 27 Hard Disk Forensic . (Part 1) .
What is Cyber Forensics ? Part 27
Hard Disk Forensic . (Part 1) .
Hard Disk Forensic . (Part 1) .
Hard Disk တစ္ခုကုိ forensics မလုပ္ခင္ Hard disk ရဲ့ဖြဲ႕စည္းပုံကုိ အရင္ဆုံး သိထားရပါမယ္ ...
ပုံမွာ ပါတဲ့ အတုိင္း
ပုံမွာ ပါတဲ့ အတုိင္း
Platter ဆုိတာကေတာ့ Hard disk မွာ Data ေတြကုိ အဓိက သိမ္းဆည္းထားတဲ့ေနရာပါ။ Platter ကုိ ပါးလႊာေခ်ာေမြ႕တဲ့ aluminum alloy, or glass နဲ့ ၿပဳလုပ္ထားၿပီး meganitic အရည္ကုိ အေပၚကေန သုတ္ထားပါတယ္။ Platter size ကေတာ့ 5.25-inch ဒါမွမဟုတ္ 3.5-inch ရွိပါတယ္။platter ရဲ့ အေပၚဘက္မွာေရာ ေအာက္ဘက္မွာ ပါ data ေတြကုိ သိမ္းထားပါတယ္။ data ေတြကုိ platter ေပၚမွာ 0 1 အေနနဲ့ သိမ္းထားပါတယ္။ အရင္ကေတာ့ Hard disk မွာ Platter ေတြ 6 ခုေလာက္ပါေပမဲ့
နည္းပညာ ျမင့္မားလာတာနဲ႔ အမွ် platter အရည္အတြက္လည္း နည္းသြားတာကုိ ေတြ႕ႏုိင္မွာ ျဖစ္ပါတယ္။ Platter အရည္အတြက္ နည္းတာနဲ႕ အမွ် Fault ျဖစ္ႏုိင္ေခ်လဲ နည္းသြားပါတယ္။
======================
နည္းပညာ ျမင့္မားလာတာနဲ႔ အမွ် platter အရည္အတြက္လည္း နည္းသြားတာကုိ ေတြ႕ႏုိင္မွာ ျဖစ္ပါတယ္။ Platter အရည္အတြက္ နည္းတာနဲ႕ အမွ် Fault ျဖစ္ႏုိင္ေခ်လဲ နည္းသြားပါတယ္။
======================
Spindle ကေတာ့ platter ေတြလည္ပတ္ဖုိ႕ အတြက္လည္ပတ္ေပးရတဲ့ Motor ျဖစ္ပါတယ္။ တစ္မိနစ္ လည္ပတ္ႏွဳန္းကေတာ့ 4,200 RPM ကေန 15,000 RPM အထိရွိပါတယ္။, လက္ေတြ႔မွာ အသုံးအမ်ားဆုံး Hard disk ေတြ၇ဲ့ လည္ပတ္ႏွုန္းကေတာ့ 5,400 rpm ကေန 10,000 RPM အထိရွိပါတယ္။
======================
======================
Head ကေတာ့ Platter မွာ သိမ္းထားတဲ့ data ေတြကုိ ဖတ္ဖုိ႕ နဲ႕ ေနာက္ထပ္ data ေတြကုိ သိမး္ဖုိ႕အတြက္ပါ။ platter တစ္ခုမွာ head ၂ ခုစီပါ၀င္ပါတယ္။ head နဲ႕ platter အကြာအေ၀းက 0.5 microinches ရွိပါတယ္။ physical damage ျဖစ္တဲ့ hd ကုိ ျပင္မယ္ဆုိရင္ PLATTER SWAP လုပ္တဲ့အခါမွာ HEAD နဲ့ PLATTER ေ၀းေနရင္ data ေတြကုိ မဖတ္ႏုိင္ပါဘူး နီးကပ္သြားရင္ လည္း platter ေပၚက data ပ်က္စီးႏုိင္ပါတယ္။
======================
Actulator
======================
Actulator
Actuator ဆိုတာ voice coil motor ျဖစ္ၿပီး coilထဲကုိ လ်ပ္စစ္စီး၀င္ကာ actuator arm ကုိထိန္းခ်ဳပ္ေပးပါတယ္။
======================
Actulator Arm
======================
Actulator Arm
Actuator Arm ဆိုတာ platter အၿပားေတြေပၚမွာ အလွ်ားလုိက္ ေရြ႕ေနၿပီး data ေတြကုိ သူ႕မွာ ပါတဲ့ Head နဲ့ ေရးဖတ္ေပးပါတယ္။
အဲလိုေရးဖတ္တဲ့အခါမွာလဲ အတိအက်ျဖစ္ေအာင္ Actuator arm ကုိ actuator ကျပဳလုပ္ေပးပါ တယ္.. ။ Arm ေရြ႕လ်ားတဲ့ အခါမွာ အတြင္းကေန အျပင္ဘက္ကုိ ေရြးလ်ားပါတယ္။
======================
Actuator Axis ဆိုတာ Actuar arm ရဲ ့အစြန္တစ္ခုမွာရိွျပီး axis လည္ပတ္တဲ့ အခါမွာ arm က လုိက္ပါ ေရြ႕လ်ားပါတယ္။
အဲလိုေရးဖတ္တဲ့အခါမွာလဲ အတိအက်ျဖစ္ေအာင္ Actuator arm ကုိ actuator ကျပဳလုပ္ေပးပါ တယ္.. ။ Arm ေရြ႕လ်ားတဲ့ အခါမွာ အတြင္းကေန အျပင္ဘက္ကုိ ေရြးလ်ားပါတယ္။
======================
Actuator Axis ဆိုတာ Actuar arm ရဲ ့အစြန္တစ္ခုမွာရိွျပီး axis လည္ပတ္တဲ့ အခါမွာ arm က လုိက္ပါ ေရြ႕လ်ားပါတယ္။
======================
track
track ဆုိတာ ပုံမွာၿပထားတဲ့ အတုိင္း platter ေပၚမွာ စက္၀ုိင္းပုံစံအေနနဲ့ ရွိေနတာျဖစ္ပါတယ္။ tracုk အရည္အတြက္ မ်ားေလေလ သိမ္းဆည္းႏုိင္တဲ့ data ပမဏ မ်ားေလေလျဖစ္ပါတယ္။ Track Number ဆုိတာကေတာ့ platter အျပင္ဘက္ကေန ၀ ဆုိၿပီး စတင္ၿပီး အၿပင္ဘက္သုိ႕ ေရတြက္သြားပါတယ္။ မ်ားေသာ အားျဖင့္ track number အစား cylinder အေရအတြက္နဲ႕ ေဖာ္ၿပပါတယ္။
======================
Cylinder
track ဆုိတာ ပုံမွာၿပထားတဲ့ အတုိင္း platter ေပၚမွာ စက္၀ုိင္းပုံစံအေနနဲ့ ရွိေနတာျဖစ္ပါတယ္။ tracုk အရည္အတြက္ မ်ားေလေလ သိမ္းဆည္းႏုိင္တဲ့ data ပမဏ မ်ားေလေလျဖစ္ပါတယ္။ Track Number ဆုိတာကေတာ့ platter အျပင္ဘက္ကေန ၀ ဆုိၿပီး စတင္ၿပီး အၿပင္ဘက္သုိ႕ ေရတြက္သြားပါတယ္။ မ်ားေသာ အားျဖင့္ track number အစား cylinder အေရအတြက္နဲ႕ ေဖာ္ၿပပါတယ္။
======================
Cylinder
platter ေပၚမွာ data ေတြ ေရးဖတ္ဖုိ႕ အတြက္ျပဳလုပ္ထားတဲ့ head ဟာ
platterေတြ အေပၚေအာက္မွာ နီးကပ္စြာတည္ရွိေနၿပီး တစ္ၿပိဳင္တည္း တူညီတဲ့ track number အတုိင္းလွဳပ္ရွားပါတယ္။ တစ္ကယ္တန္းဆုိရင္ cylinder ဆုိတာ platter ေတြ ေပၚက track ေတြကုိ head တုိင္းက access လုပ္ႏုိင္တဲ့ track အစုအေ၀းကုိ ေခၚတာျဖစ္ပါတယ္။ ေနာက္တနည္းေၿပာရရင္ Head ေတြတုိင္းက access လုပ္ႏုိင္ တည္ရွိႏုိင္တဲ့ platter ေတြေပၚက track အစုအေ၀းျဖစ္ပါတယ္။
======================
Sector
Sector ဆုိတာ track ေပၚမွာ data ေတြသိမ္းဖုိ႕အတြက္ ဖြဲ႕စည္းထားတဲ့အေသးဆုံး physical storage ျဖစ္ပါတယ္။ အရင္ကေတာ့ sector တစ္ခုမွာ 512 (byte) ရွိေပမဲ့ ေနာက္ပုိ္င္း 2010 ေလာက္ကေန စၿပီး 4,096 bytes (4k) ျဖစ္လာပါတယ္။ဒါေၾကာင့္ data ေတြ ပုိမုိ သိမ္းႏုိင္တဲ့ ပမာဏ မ်ားလာတာျဖစ္ပါတယ္။ sector ပါ အပုိင္း ၄ ပုိင္းပါ၀င္ပါတယ္
platterေတြ အေပၚေအာက္မွာ နီးကပ္စြာတည္ရွိေနၿပီး တစ္ၿပိဳင္တည္း တူညီတဲ့ track number အတုိင္းလွဳပ္ရွားပါတယ္။ တစ္ကယ္တန္းဆုိရင္ cylinder ဆုိတာ platter ေတြ ေပၚက track ေတြကုိ head တုိင္းက access လုပ္ႏုိင္တဲ့ track အစုအေ၀းကုိ ေခၚတာျဖစ္ပါတယ္။ ေနာက္တနည္းေၿပာရရင္ Head ေတြတုိင္းက access လုပ္ႏုိင္ တည္ရွိႏုိင္တဲ့ platter ေတြေပၚက track အစုအေ၀းျဖစ္ပါတယ္။
======================
Sector
Sector ဆုိတာ track ေပၚမွာ data ေတြသိမ္းဖုိ႕အတြက္ ဖြဲ႕စည္းထားတဲ့အေသးဆုံး physical storage ျဖစ္ပါတယ္။ အရင္ကေတာ့ sector တစ္ခုမွာ 512 (byte) ရွိေပမဲ့ ေနာက္ပုိ္င္း 2010 ေလာက္ကေန စၿပီး 4,096 bytes (4k) ျဖစ္လာပါတယ္။ဒါေၾကာင့္ data ေတြ ပုိမုိ သိမ္းႏုိင္တဲ့ ပမာဏ မ်ားလာတာျဖစ္ပါတယ္။ sector ပါ အပုိင္း ၄ ပုိင္းပါ၀င္ပါတယ္
ID information: sector နံပတ္ နဲ့ sector ေပၚမွာ သိမ္းထားေသာ data နံပတ္
Synchronization fields data ကုိ ဖတ္ဖုိ႕အတြက္ ကူညီေပးပါတယ္။
Data: Sector ေပၚမွာ တစ္ကယ္သိမ္းထားေသာ data
ECC: data အေရးအဖတ္ လုပ္တဲ့အခါမွာ error check , Correction လုပ္တဲ့အပုိင္းပါ
Gaps: data ကုိဖတ္တဲ့အခ်ိန္ရေစဖုိ႕ ေပးတဲ့ ေနရာပါ
======================
======================
Cluster
Cluster
cluster ဆုိတာ ့hardisk ေပၚမွာ data သိမ္းဆည္းတဲ့ အငယ္ဆုံးေသာ logical storage unit တစ္ခုပါ။ data ေတြ track ေပၚက sector ေပၚမွာ တစ္ဆက္တည္း သိမ္းဆည္းပါတယ္။ အဲလုိ တစ္ဆက္စပ္တည္းျဖစ္ေနတဲ့ sector အစုအေ၀းကုိ cluster လုိ႕ေခၚပါတယ္။ HD ကုိ partation ပုိင္းတဲ့ အေပၚမူတည္ၿပီး cluster size အမ်ဳိးမ်ဳိးရွိႏုိင္ပါတယ္။ 4 sector ကုိ cluster တစ္ခု (သုိ႕) 64,128 ဆုိၿပီး ရွိနုိင္ပါတယ္။ cluster size ဆုိရင္ Eg= 4 x 4k(sector) = 1600 byte
(slack space ကုိ သီျခားရွင္းပါမည္ forensics လုပ္တဲ့ေနရာမွ အေရးၾကီးပါသည္ )
======================
volume
cluster ဆုိတာ ့hardisk ေပၚမွာ data သိမ္းဆည္းတဲ့ အငယ္ဆုံးေသာ logical storage unit တစ္ခုပါ။ data ေတြ track ေပၚက sector ေပၚမွာ တစ္ဆက္တည္း သိမ္းဆည္းပါတယ္။ အဲလုိ တစ္ဆက္စပ္တည္းျဖစ္ေနတဲ့ sector အစုအေ၀းကုိ cluster လုိ႕ေခၚပါတယ္။ HD ကုိ partation ပုိင္းတဲ့ အေပၚမူတည္ၿပီး cluster size အမ်ဳိးမ်ဳိးရွိႏုိင္ပါတယ္။ 4 sector ကုိ cluster တစ္ခု (သုိ႕) 64,128 ဆုိၿပီး ရွိနုိင္ပါတယ္။ cluster size ဆုိရင္ Eg= 4 x 4k(sector) = 1600 byte
(slack space ကုိ သီျခားရွင္းပါမည္ forensics လုပ္တဲ့ေနရာမွ အေရးၾကီးပါသည္ )
======================
volume
volume
ပုိင္းထားတဲ့ partation logical အပုိင္းျဖစ္ပါတယ္။ Volume တစ္ခုမွာ cluster ေတြမ်ားစြာပါ၀င္ႏုိင္ပါတယ္။
ပုိင္းထားတဲ့ partation logical အပုိင္းျဖစ္ပါတယ္။ Volume တစ္ခုမွာ cluster ေတြမ်ားစြာပါ၀င္ႏုိင္ပါတယ္။
Comments