What is Cyber Forensics ? Part 31 (Redundant Array of Independent Disks) (RAID) (FORENSICS)

What is Cyber Forensics ? Part 31

(Redundant Array of Independent Disks) (RAID) (FORENSICS) (Part 1)
=======================================

RAID စနစ္ကုိ data မ်ားပ်က္စီးျခင္းမွကာကြယ္ႏုိင္ရန္နဲ႕ Performance ေကာင္းေစဖုိ႕ အတြက္ အဓိက ထားၿပီးအသုံးၿပဳၾကပါတယ္။ ကုိယ္လုပ္ကိုင္ေနတဲ့ အဖြဲ႕ အစည္း အသုံးၿပဳတဲ့ Data ေတြေပၚမူတည္ၿပီး Raid Level ေတြကုိ သတ္မွတ္ အသုံးၿပဳႏုိင္ပါတယ္။
Raid system မွာ အသုံးၿပဳတဲ့ နည္းပညာ ၃ ခုရွိရပါတယ္။ အဲဒါေတြကေတာ့ striping, mirroring, parity, နဲ႕ ေပါင္းစပ္အသုံးၿပဳျခင္းတုိ႕ျဖစ္ပါတယ္။

Striping။

data ေတြကုိ Block Size အေနနဲ႕ ပိုင္းလုိက္ၿပီး Hard Disk ေတြမွာသြားၿပီး သိမ္းထားျခင္းျဖစ္ပါတယ္။ Block Size ကေတာ့ 32KB ကေန 128KB ,1 MB အသီးသီးရွိပါတယ္။data ေတြကုိ Block အေနနဲ႕ ပုိင္းၿပီး သိမ္းလုိက္ၿပီး array Member ေတြျဖစ္တဲ့ Hard disk တစ္ၿပဳိင္ထဲ သြားၿပီး သိမ္းတဲ့အတြက္ Read/Write Performance ပုိၿပီးေကာင္းပါတယ္။ ဒါေပမဲ့ Fault to­le­ran­ce မရပါဘူး။

Mirroring

Data ေတြကုိ Array member ျဖစ္တဲ့ Hard disk ေတြေပၚမွာ သြားၿပီး တစ္ၿပဳိင္းတည္း သိမ္းထားျခင္းျဖစ္ပါတယ္။ A ဆုိတဲ့ File တစ္ခုထဲကုိ Hard disk 1 မွာေရာ Hard Disk 2 မွာေရာ သြားၿပီး Save ထားျခင္းျဖစ္ပါတယ္။ဒါေၾကာင့္ Fault to­le­ran­ce ရွိပါတယ္။ Read Performance ေကာင္းပါတယ္။

Parity

Hard Disk မွာ Data ေတြကုိ သိမ္းထားရင္ 0 1 အေနနဲ႔ သိမ္းထားပါတယ္။ Parity စနစ္ကေတာ့ binary number ေတြျဖစ္တဲ့ 0 1 ေတြအား Xor ကုိ အသုံးၿပဳၿပီး Parity Data (information) ကေန Disk တစ္ခု fail ျဖစ္ရင္ Fault to­le­ran­ce ရရွိေအာင္ လုပ္တာပါ။. Xor ကတူရင္ 0 မတုူရင္ 1
(disk 4 မွာ Parity information တြက္ခ်က္မႈ)

Disk 1 = 1 0 1 0
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------

when Disk 1 Fail <==== disk 4 က Parity information နဲ႔ ျပန္ Xor ပါမယ္။

Disk 1 = x x x x
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)
------------------------------------------------

Result

Disk 1 = ၁ ၀ ၁ ၀
Disk 2 = 1 1 0 0
Disk 3 = 0 0 1 1
------------------------------------------
Disk 4 = 0 1 0 1 ( Parity Information)

============================================

Software Raid = raid 0 (window 7 မွာ ခြဲႏုိင္)
raid 5 , raid 0 = window 8.1 and Window 10
Hardware Raid Controller = SCSI ,SATA, Fiber Channel
=============================================

RAID 0 (Striping ) (Block Size)
==============
- Raid 0 မွာ (Striping ) နည္းစနစ္သုံးထာပါတယ္။
- အနည္းဆုံး Same Size Hard Disk 2 လုံး လုိအပ္ပါတယ္။
တစ္ကယ္လုိ႕ HD တစ္လုံးက 500 GB ျဖစ္ၿပီး ေနာက္တစ္လုံးက
1000 GB ျဖစ္ေနရင္ အငယ္ဆုံး 500 GB hard disk ကုိ base
Storage device အျဖစ္ယူၿပီး ႏွစ္ခုေပါင္း 1000GB သာရရွိပါမယ္။

- Read/Write ျမန္ဆန္ပါတယ္။
- Fault to­le­ran­ce မရႏုိင္ပါ။

RAID 1 (Mirroring )
==============
- Raid 1 မွာ Mirroring စနစ္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Size တူတဲ့ Hard Disk ၂ လုံးလုိအပ္ပါတယ္။
( Mirroring ျဖစ္လုိ႕ 500 GB 2 လုံးေပါင္းရင္ 1000 GB မရပါဘူး 500 GB သာရပါမယ္) ။ 500 တစ္လုံး 750 တစ္လုံးဆုိရင္လဲ 500 GB သာရပါမယ္။
- Read အပုိင္းမွာ ျမန္ဆန္ပါတယ္္။
- Fault to­le­ran­ce ရွိပါတယ္။
- Fault to­le­ran­ce = (N-1) HD 3 လုံးရွိမယ္ဆုိရင္ (3-1) အရ (2)လုံးထိ fail ျဖစ္လုိ႕ရပါသည္)

RAID 5 (Striping with parity)
====================
- Raid 5 မွာ Striping စနစ္နဲ႕ Parity စနစ္တုိ႕ တြဲဖက္အသုံးၿပဳထားပါတယ္။
- အနည္းဆုံး Hard Disk 3 လုံးလုိအပ္ပါတယ္။
- Fault to­le­ran­ce ရွိပါတယ္။
- Read အပိုင္းမွာ ျမန္ဆန္ပါတယ္။
- Available Space = (N-1) 500GB hard disk သုံးမယ္ဆုိရင္
(3-1) = 2 အရ 1000 GB သာရပါမယ္။ က်န္ 500 က party information အတြက္ပါ။
=============================================

RAID 0 , RAID 1 , RAID 5 ကေတာ့ လက္ရွိမွာ အသုံးအမ်ားဆုံးျဖစ္ပါတယ္။ က်န္တဲ့ raid ေတြကေတာ့ striping, mirroring, parity, အစရွိတဲ့ စနစ္ေတြကုိ တြဲဖက္ အသုံးၿပဳတာျဖစ္ပါတယ္.။ ဒီသေဘာေတြနားလည္ရင္ အဆင္ေၿပပါတယ္။
============================================
HOW To Forensics RAID SYSTEM
============================================
- how to collect Evidence ကုိအစပုိင္းက ေရးထားၿပီးသားအတုိင္းပါ

- မိမိ စစ္ေဆးရမဲ့ ကြန္ပ်ဴတာ, Server က raid level ဘယ္ေလာက္နဲ့ခြဲထားတယ္ဆုိတာ သိထားရပါမယ္။ Raid 1 ကေတာ့ ကိစၥမရွိပါ ဘာလုိ႕လဲဆုိ raid 1 က Mirroring စနစ္ အသုံးၿပဳထားတဲ့ အတြက္ေၾကာင့္ပါ။ raid level ကုိ auto Detect ျဖစ္တဲ့ forensics နည္းေတြလဲရွိပါတယ္။

- Encase ကုိအသုံးၿပဳမယ္ဆုိရင္ SCSI drive ေတြကုိ auto သိၿပီး Volume တစ္ခုထဲအေနနဲ႕ ျမင္ရပါမယ္။ (Try to Image ......Hash.....load image and Recover If Need )
(image လုပ္ဖုိ႕ HD storage အခက္ခဲရွိတယ္ဆုိရင္ မိမိ Forensics station က SCSI တပ္ဆင္လုိ႕ရရပါမယ္။ Or SATA အပုိေတြပါရပါမယ္။

- Example အေနနဲ raid 5 ကုိ ၿပထားပါတယ္... ။ ပုံေတြကုိ ၀ါးရင္... Sorry ...
ဆက္ရန္ ...............................

#Computerforensics #RAID
https://forensicsmyanmar.blogspot.com/