본문 바로가기

[+] Forensic

File System - HFS+ (2)

이번 글에서는 HFS+ 레이아웃에서 첫 번째에 위치하는 예약 영역과 그 다음에 위치하는 Volume Header에 대해서 알아 볼 것이다.

[예약 영역]
해당 영역은 기존에 Boot Block이 위치하고 있던 자리로 OS가 발달하면서 부트 블록이 필요 없게 되어 사용하지 않게 되었다. 크기는 1024byte이며 만약 Mac OS Finder가 시스템 폴더를 변경하게 되면 변경 내용을 해당 영역에 기록하고 저장한다. 


[Volume Header]
Volume Header는 HFS+ 의 시그니처, 볼륨 타임스탬프 등의 파일시스템 전반적인 정보들을 저장하고 있다. 크기는 512byte이며 세 번째 섹터에 저장된다. 해당 영역에 오프셋 구조는 다음과 같다.

[그림 1 - Volume Header 오프셋 구조]

 - HFS+ 시그니처 : HFS+ 의 시그니처는 0x482B(H+) 이다.

 - HFS+ 버전 : 버전은 고정 값으로 0x0004를 가진다.

 - 볼륨의 속성 : 볼륨이 가질 수 있는 속성은 여러가지가 있는데 그 목록은 아래와 같다.


[그림 2 - 볼륨 속성 목록]

 - 볼륨 쓰기 수 : 볼륨을 마운트 할 때마다 증가하는 카운트 값이다.

 - 인코딩 비트맵 : 파일명이나 디렉토리명에 사용된 문자를 추적 할 때 사용되는 비트맵이다.

 - Finder에서 사용하는 정보 : 해당 필드는 32byte 배열 필드(int 형)로 Finder에서 사용하는 정보와 부팅 프로세스 등의 정보가 저장되어 있다. 해당 배열의 각 원소들이 가지고 있는 정보의 목록은 아래와 같다.


[그림 3 - 원소별 정보]


"Finder에서 사용하는 정보" 오프셋 다음에 나오는 각 파일들의 오프셋은 80byte의 크기로 각 파일들의 위치와 할당 받은 블록 개수 등을 저장하고 있다. 구조는 동일하며 아래와 같다.

[그림 4 - Volume Header 안에서의 각 파일들 오프셋 구조]

 * 참고 : [그림 4]의 오프셋 범위는 Volume Header 안에서의 각 파일들 오프셋에서 상대적인 오프셋이다.


'[+] Forensic' 카테고리의 다른 글

File System - HFS+ (4)  (0) 2012.03.23
File System - HFS+ (3)  (0) 2012.03.23
File System - HFS+ (1)  (0) 2012.03.22
e-discovery ?  (0) 2012.03.13