rawcopy v1.0은 프로세스에 의해 핸들이 잠긴 상태의 파일을 복사하기 위해 제작되었습니다. 예를 들어 레지스트리 하이브 파일이나 페이지파일(pagefile.sys), 하이버네이션파일(hiberfil.sys) 등은 시스템에 의해 사용 중이기 때문에 복사할 수 없습니다. 이러한 경우에 rawcopy를 통해 복사를 수행하시면 됩니다. 특히나 페이지파일이나 하이버네이션파일은 라이브포렌식이나 메모리분석 시에 유용히 사용되기 때문에 활용가치가 높다고 생각됩니다.

구현 원리를 말씀드리자면, 파일시스템 모듈이 볼륨을 직접 오픈하고 파일시스템 구조를 직접 파싱하여 파일의 데이터 영역에 접근합니다. 지원하는 파일시스템은 FAT16, 32 그리고 NTFS 입니다. 프로그램은 간단해 보이지만 내부적으로는 복잡한 과정을 거칩니다.

download

<사용법>
rawcopy srcfile destfile


다운로드 받으시면 실행파일과 dll 파일이 나옵니다. dll 파일은 직접 개발한 파일시스템 모듈이기 때문에 반드시 필요합니다. 그냥 함께두고 실행하세요.

개인적인 용도로 사용하기 위해 단순하게 제작하였습니다. 만약 버그 발견 시에는 리플로 리포팅해주시면 적극 반영하도록 하겠습니다. 그리고 만약 디렉토리 복사를 원하시면... 쉘스크립트를 이용하세요.. ;p