Microsoft SQL Server 삭제 이벤트의 데이터 잔존 비교

Abstract

Microsoft SQL Server의 데이터 복구와 관련된 그간의 연구는 삭제된 레코드가 트랜잭션 로그에 존재하는 경우를 바탕으로 복원하는 방법이 주를 이루었다. 그러나 관련 트랜잭션 로그가 존재하지 않거나 물리 데이터베이스 파일이 Server와 연결되어 있지 않은 경우 적용하기 곤란한 한계가 있었다. 그러므로 범죄 과정에서 용의자가 delete 외 다른 이벤트를 이용하여 삭제할 가능성이 있기 때문에 이에 대한 삭제된 레코드의 잔존을 확인하여 복구 가능성을 확인해볼 필요가 있다. 이 논문에서는 Microsoft SQL Server 물리 데이터베이스 파일의 구조를 기초로 데이터 삭제가 수행되는 delete, truncate, drop 이벤트에 따른 Page 할당정보 유지 여부, 미할당 삭제데이터 존재 여부, 페이지 내 행오프셋 배열 정보의 변화를 실험하여 최종적으로 디지털포렌식 조사 시 관리도구 이용 가능성 및 데이터 복구 가능성을 확인하였다. Previous research on data recovery in Microsoft SQL Server has focused on restoring data based on in the transaction log that might have deleted records exist. However, there was a limit that was not applicable if the related transaction log did not exist or the physical database file was not connected to Server. Since the suspect in the crime scene may delete the data records using a different deletion statements besides "delete", we need to check the remaining data and a recovery possibility of the deleted record. In this paper, we examined the changes "Page Allocation information" of the table, "Unallocation deleted data", "Row Offset Array" in the page according to "delete", "truncate" and "drop" events. Finally it confirmed the possibility of data recovery and availability of management tools in Microsoft SQL Server digital forensic investigation.