Investigation of RAID Systems in Terms of Forensics

Yıl 2023, Cilt: 14 Sayı: 53, 142 - 161, 08.06.2023

Ramazan Oğuz , Yiğithan Yılmaz

https://doi.org/10.5824/ajite.2023.02.004.x

Öz

The purpose of this study is to examine RAID (Redundant Array of Independent Disks) systems in terms of forensic computing, due to the widespread use in daily life and the increase in the amount of evidence coming to criminal laboratories. In the study, primarily RAID systems and the used parameters were examined. It has been understood that the parameters that need to be known when rebuilding RAID systems are RAID level, correct disk ordering, stripe size and geometry information. RAID 0, 1 and 5 systems, which are determined to be the most used, are discussed in detail. During the examination of RAID systems in terms of forensic computing, the RAID 5 system, which includes all parameter features, was created with VROC (Virtual RAID On CPU) software. File copying and deletion operations were performed within the created RAID system. As a result of the processes, the image of the hard disks was taken with the Tableau TD2u hardware. The images taken were examined with the software named DiskInternals Raid Recovery. As a result of the examinations, it has been shown how the RAID structure is rebuilt with the specified software. While creating the RAID system, it has been determined that the software can automatically try all required parameter combinations, and in cases where automatic attempts do not yield successful results, the required parameters should be known by the user and entered into the software. It has been observed that if the required parameters are entered incorrectly, the disk structure cannot be created correctly and user data cannot be accessed. As a result, the parameters needed for the re-creation of RAID systems, which are frequently encountered in criminal investigations but have not been demonstrated in practice, have been put forward and the methods to be followed in the investigations have been determined.

Anahtar Kelimeler

RAID, forensics, striping, mirroring, parity

RAID Sistemlerinin Adli Bilişim Açısından İncelenmesi

Öz

Günlük hayatta kullanımının yaygınlaşması ve kriminal laboratuvarlara gelen delil miktarındaki artış nedeniyle, RAID (Redundant Array of Independent Disks – Bağımsız Disklerin Yedekli Dizisi) sistemlerinin adli bilişim açısından incelenmesi bu çalışmanın amacını oluşturmaktadır. Yapılan çalışmada, öncelikli olarak RAID sistemleri ve kullanılan parametreler incelenmiştir. RAID sistemleri tekrardan oluşturulurken bilinmesi gereken parametrelerin, RAID seviyesi, doğru disk sıralaması, şerit boyutu ve geometri bilgisi olduğu anlaşılmıştır. En çok kullanım alanının olduğu belirlenen RAID 0, 1 ve 5 sistemleri ayrıntılı olarak ele alınmıştır. RAID sistemlerinin adli bilişim açısından incelenmesi aşamasında, tüm parametre özelliklerini üzerinde barındıran RAID 5 sistemi VROC (Virtual RAID On CPU) yazılımı ile oluşturulmuştur. Oluşturulan RAID sistemi içerisinde dosya kopyalama ve silme işlemleri gerçekleştirilmiştir. İşlemler sonucunda sabit disklerin imajı Tableau TD2u donanımıyla alınmıştır. Alınan imajlar DiskInternals Raid Recovery isimli yazılım ile incelenmiştir. İncelemeler neticesinde belirtilen yazılımla RAID yapısının tekrardan nasıl oluşturulduğu gösterilmiştir. RAID sistemi oluşturulurken yazılımın, ihtiyaç duyulan tüm parametre kombinasyonlarını otomatik olarak deneyebildiği, otomatik denemelerin başarılı sonuç vermediği durumlarda ihtiyaç duyulan parametrelerin kullanıcı tarafından bilinmesi ve yazılıma girilmesi gerektiği tespit edilmiştir. İhtiyaç duyulan parametrelerin yanlış girilmesi durumunda disk yapısının doğru bir şekilde oluşturulamadığı ve kullanıcı verilerine erişilemediği görülmüştür. Sonuç itibariyle, kriminal incelemelerde son dönemlerde sıkça karşılaşılan fakat uygulamalı gösterimi bulunmayan RAID sistemlerinin tekrardan oluşturulması noktasında ihtiyaç duyulan parametreler ortaya konulmuş ve incelemelerde izlenecek yöntemler belirlenmiştir.

Anahtar Kelimeler

RAID, adli bilişim, şeritleme, aynalama, eşlik

Kaynakça

• Bahar, F. (2022). Küresel güvenlik tedbirleri. Gözetleme olgusu bağlamında özel güvenlik ve mobese kameraları. Sosyologca, 3(6). https://sosyologca.org/?mod=makale_tr_ozet&makale_id=54383
• Balı, A. R. (2010). Performance Analysis On Raid Levels. [Yayınlamamış Yüksek Lisans Tezi]. Bahçeşehir Üniversitesi, Fen Bilimleri Enstitüsü.
• Bolat, Y. (2015). Memory Forensics. [Yayınlanmamış Yüksek Lisans Tezi]. İstanbul Bilgi Üniversitesi, Sosyal Bilimler Enstitüsü.
• Carrier, B. (2005). File system forensic analysis. Addison-Wesley.
• Choi, J., Park, J., & Lee, S. (2020). Reassembling linux‐based hybrid raid. Journal of Forensic Sciences, 65(3), 966-973. https://doi.org/10.1111/1556-4029.14258
• Corbett, P., English, B., Goel, A., Grcanac, T., Kleiman, S., Leong, J., & Sankar, S. (2004). {row-diagonal} parity for double disk failure correction. 3rd USENIX Conference on File and Storage Technologies (FAST 04).
• Demirel, G., ve Kanlioğlu, A. (2021). Fotoğraf Serüveninin Son Durağı, Mobil Fotoğrafçılık. Erciyes İletişim Dergisi, 2, 81-100. https://doi.org/10.17680/erciyesiletisim.973527
• Goel, A., & Corbett, P. (2012). RAID triple parity. ACM SIGOPS Operating Systems Review, 46(3), 41-49. https://doi.org/10.1145/2421648.2421655
• Gül, M. (2018). Adli Bilişim Atlatma Teknikleri ve Karşı Tedbirler. [Yayınlanmamış Yüksek Lisans Tezi] Milli Savunma Üniversitesi, Hazerfan Havacılık ve Uzay Teknolojileri Estsitüsü.
• Hart, N. (2002). Method, disaster recovery record, back-up apparatus and raid array controller for use in restoring a configuration of a raid device, US Patent App. 10/152,340
• Hausknecht, K., & Gruicic, S. (2017). Anti-computer forensics. 2017 40th International Convention on Information and Communication Technology, Electronics and Microelectronics (MIPRO), 1233-1240. https://doi.org/10.23919/MIPRO.2017.7973612
• Hilgert, J.-N., Lambertz, M., & Yang, S. (2018). Forensic analysis of multiple device BTRFS configurations using The Sleuth Kit. Digital Investigation, 26, S21-S29. https://doi.org/10.1016/j.diin.2018.04.020
• Kiselev, O., & Colgrove, J.A. (2006). Automated recovery from data corruption of data volumes in parity raid storage systems. US Patent 7.
• Oğuz, H. (2013). Elektronik ortamda kişisel verilerin korunması, bazı ülke uygulamaları ve ülkemizdeki durum. Uyuşmazlık Mahkemesi Dergisi, 0 (3), 1-38.
• Patterson, D. A., Gibson, G., & Katz, R. H. (1988). A case for redundant arrays of inexpensive disks (Raid). Proceedings of the 1988 ACM SIGMOD International Conference on Management of Data - SIGMOD ’88, 109-116. https://doi.org/10.1145/50202.50214
• Reinsel, D., Gantz, J., & Rydning, J. (2018). The digitization of the world from edge to core. Framingham: International Data Corporation.
• Sammes, A. J., & Jenkinson, B. (2007). Forensic computing (2nd ed). Springer.
• Standart Olmayan RAID Seviyeleri (t.y.). Non-standard RAID levels. https://en-academic.com/dic.nsf/enwiki/4462635
• Stott, D. (1998). Understanding RAID. PC Network Advisor. 95, 17-20.
• Wayne, W. (2015). Web User. 372, 58-61.
• Xiang, L., Xu, Y., Lui, J. C. S., Chang, Q., Pan, Y., & Li, R. (2011). A hybrid approach to failed disk recovery using raid-6 codes: Algorithms and performance evaluation. ACM Transactions on Storage, 7(3), 11:1-11:34. https://doi.org/10.1145/2027066.2027071
• Zoubek, C., Seufert, S., & Dewald, A. (2016). Generic RAID reassembly using block-level entropy. Digital Investigation, 16, S44-S54. https://doi.org/10.1016/j.diin.2016.01.007