데이터 카빙(Data Carving)

I. 컴퓨터 포렌식 데이터 복구 기법, 데이터 카빙의 개요

가. 데이터 카빙(Data Carving)의 정의

   - 파일 시스템의 정보 없이 비 할당 영역에서 파일을 추출하는 기법

나. 데이터 카빙의 중요요소

   - 카빙 소요시간: 복구 시 사용하는 검색 알고리즘 및 처리 부분 최적화

   - 데이터 정확성: 파일의 특성들을 조합한 적확성 향상

---

II.  데이터 카빙의 분류 및 주요기법

가. 데이터 카빙의 분류

항목	연속적 데이터 카빙	비연속적 데이터 카빙
개념	- 데이터가 저장매체의 연속된 공간에 저장된 경우 수행하는 기법	- 데이터 단편화가 발생하여 저장매체 여러 부분에 조각나 저장된 경우 수행하는 기법
주요기법	- 헤더/푸터, 램 슬랙 카빙, 파일 크기 카빙, 파일 검증 카빙	- 파일 조각화 비율, 시그니처 기반 기법, 엔트로피 이용 기법

- 데이터 단편화 여부에 따라 연속적, 비연속적 기법 적용여부 판단

나. 데이터 카빙의 주요기법

분류	주요기법	설명
연속적	헤더/푸터	- 파일 고유의 헤더와 푸터 시그니처 활용
	램 슬랙 카빙	- 윈도우 시스템의 램 슬랙이 항상 0x00으로 채워지는 성질 이용
	파일 크기 카빙	- 각 파일의 고유한 헤더 구조체를 이용
비연속적	파일 조각화 비율	- 각 파일의 조각난 수에 따라 단편화된 부분을 복구하는 기법
	시그니처 기반	- 각 파일의 시그니처를 기반으로 단편화된 부분을 복구하는 기법
	엔트로피 이용	- 블록/클러스터의 엔트로피를 계산하여 특정 파일의 조각을 분류하는 기법