Ghost - DOS : 디스크 복원 및 복사시 흔적(Finger Print) 남기지 않기 [이동 완료]
이동 완료 2009. 9. 18. 13:49 |이곳은 백업 블로그 입니다. 현재 캐플이 활동 중인 블로그는 CAppleBlog.co.kr 입니다. 최신 정보들은 새로운 블로그에서 확인해 보세요. ^^
- 이곳은 기존 블로그들의 글을 한군데로 모아 놓은 백업 블로그입니다.
- 현재 링크는 대부분 올바르지 않으며 이러한 링크들은 모두 cappleblog.co.kr 로 이동합니다. (※ 링크 주의)
- 블로그와 커뮤니티는 서로 다른 공간입니다.(로그인을 따로 해야합니다.)
- 저는 윈티티(WinTT)이자 신비(ShinB)이며 캐플(CApple)입니다. 편한대로 불러주세요.
도스 계열 고스트는 복원이나 복사 작업을 하는 경우 하드 디스크의 특정 위치에 특정한 정보를 기록하게 됩니다. 특정한 정보란 날짜와 시간 그리고 수행한 작업을 기록한 것 입니다. 이를 토대로 추후에 고스트를 통해 해당 디스크에서 어떠한 작업을 했다는 것을 파악하게 되는 것 입니다. 이 정보는 주로 고스트를 불법으로 사용했는지의 여부를 파악하는 자료로 사용이 됩니다. 이러한 고스트의 사용 여부를 기록한 정보를 Finger Print 라고 부릅니다.
여러분들도 만약 고스트를 통해 시스템을 복원하고나 복사하였다면 이 정보를 바로 확인해 볼 수 있습니다. 이를 담당하는 스위치는 -Finger 입니다. 명령은 다음과 같습니다.
※ 하드 디스크의 로우 레벨 영역을 읽어들이는 것이기 때문에 VMware 와 같은 가상 시스템에선 확인이 불가능합니다. 그래서 부득이하게 과거 Ghost32.exe 로 제 실제 시스템을 확인했던 스크린 샷을 보여드리도록 하겠습니다. 윈도우용인 Ghost32.exe 와 도스용인 Ghost.exe 는 그 사용법이 100% 동일합니다.
바탕 화면의 처자가 참 이쁘죠? ^^;; 아무튼 위의 화면과 같이 핑거 프린트를 통해 언제 어떠한 작업을 했는지 바로 알 수 있습니다. 제 과거 시스템에선(낙뢰와 함께 사망한 -_- ...;;) 1 번 디스크는 2006년 09월 06일 오전 11시 02분에 2 번 디스크는 2007년 11월 21일 오후 08시 03분에 File to Partiton - 즉, 이미지 파일을 통해 파티션을 복원하였다는 것을 알 수 있습니다.
이와 같은 고스트의 핑거 프린트는 하드 디스크의 특정한 위치에 기록이 되어 웬만한 방법으로는 제거가 되질 않습니다. 포맷을 해도 지워지지 않고 파티션을 모두 없애도 지워지지 않는 위치에 기록이 됩니다. 뭐 물론... 로우 레벨 포맷을 하면 지워지긴 합니다. -_-; 해당 위치는 아래와 같습니다.
※ 좀 내용이 전문적인지라... 그냥 하드 디스크의 데이터가 기록되는 주소라고 생각하시면 됩니다.
위의 두 주소는 같은 위치를 나타내는 주소입니다. 논리 섹터 주소로 62 이고 이를 물리 주소인 실린더 헤드 섹터 주소로 표현하면 0,0,63 이 됩니다. 흠흠... 일단은 그냥 위의 위치에 정보가 기록된다는 것 정도로만 알아두시면 될 듯 하네요.
아무튼 본론으로 다시 돌아와서 고스트는 사용하게 되면 이렇게 흔적이 남게 되는데요. 고스트에는 이러한 핑거 프린트를 기록하지 않게 하는 스위치도 존재를 합니다.(고스트 사용자 설명서에는 그 내용이 나오지 않습니다.) 바로 -FNF 스위치 인데요. 해당 스위치를 사용하여 복원이나 복사 작업을 하게 되면 핑거 프린트가 생성이 되지 않습니다. 고스트를 사용했다는 기록을 남기기 좀 찝찝한 분들은 이 스위치를 추가하여 고스트 작업을 수행하시면 되겠습니다. 사용법은 아주 간단합니다. 그냥 평상시 사용하던 명령에 -FNF 스위치만 추가해 주시면 됩니다.
이런 식으로 말이죠. ^^
여러분들도 만약 고스트를 통해 시스템을 복원하고나 복사하였다면 이 정보를 바로 확인해 볼 수 있습니다. 이를 담당하는 스위치는 -Finger 입니다. 명령은 다음과 같습니다.
※ 하드 디스크의 로우 레벨 영역을 읽어들이는 것이기 때문에 VMware 와 같은 가상 시스템에선 확인이 불가능합니다. 그래서 부득이하게 과거 Ghost32.exe 로 제 실제 시스템을 확인했던 스크린 샷을 보여드리도록 하겠습니다. 윈도우용인 Ghost32.exe 와 도스용인 Ghost.exe 는 그 사용법이 100% 동일합니다.
Ghost -finger
핑거 프린트를 확인한 모습.
바탕 화면의 처자가 참 이쁘죠? ^^;; 아무튼 위의 화면과 같이 핑거 프린트를 통해 언제 어떠한 작업을 했는지 바로 알 수 있습니다. 제 과거 시스템에선(낙뢰와 함께 사망한 -_- ...;;) 1 번 디스크는 2006년 09월 06일 오전 11시 02분에 2 번 디스크는 2007년 11월 21일 오후 08시 03분에 File to Partiton - 즉, 이미지 파일을 통해 파티션을 복원하였다는 것을 알 수 있습니다.
이와 같은 고스트의 핑거 프린트는 하드 디스크의 특정한 위치에 기록이 되어 웬만한 방법으로는 제거가 되질 않습니다. 포맷을 해도 지워지지 않고 파티션을 모두 없애도 지워지지 않는 위치에 기록이 됩니다. 뭐 물론... 로우 레벨 포맷을 하면 지워지긴 합니다. -_-; 해당 위치는 아래와 같습니다.
※ 좀 내용이 전문적인지라... 그냥 하드 디스크의 데이터가 기록되는 주소라고 생각하시면 됩니다.
Logical Sector : 62
Physical Cylinder : 0
Head : 0
Sector : 63
Physical Cylinder : 0
Head : 0
Sector : 63
위의 두 주소는 같은 위치를 나타내는 주소입니다. 논리 섹터 주소로 62 이고 이를 물리 주소인 실린더 헤드 섹터 주소로 표현하면 0,0,63 이 됩니다. 흠흠... 일단은 그냥 위의 위치에 정보가 기록된다는 것 정도로만 알아두시면 될 듯 하네요.
아무튼 본론으로 다시 돌아와서 고스트는 사용하게 되면 이렇게 흔적이 남게 되는데요. 고스트에는 이러한 핑거 프린트를 기록하지 않게 하는 스위치도 존재를 합니다.(고스트 사용자 설명서에는 그 내용이 나오지 않습니다.) 바로 -FNF 스위치 인데요. 해당 스위치를 사용하여 복원이나 복사 작업을 하게 되면 핑거 프린트가 생성이 되지 않습니다. 고스트를 사용했다는 기록을 남기기 좀 찝찝한 분들은 이 스위치를 추가하여 고스트 작업을 수행하시면 되겠습니다. 사용법은 아주 간단합니다. 그냥 평상시 사용하던 명령에 -FNF 스위치만 추가해 주시면 됩니다.
Ghost -clone,mode=prestore,src=2:1\C_drive.gho:1,dst=1:1 -sure -fx -fnf
이런 식으로 말이죠. ^^