본문 바로가기

[+] Forensic

File System - Volume (1)

이제부터 파일시스템과 구조적인 데이터를 저장하는 볼륨에 대해서 알아 볼 것이다. 
대부분 파티션과 볼륨을 혼용하는데 이는 잘못된 혼용이며 둘의 의미는 서로 다르다.

[볼륨]
볼륨이란 운영체제나 응용 프로그램이 데이터를 저장해 사용하도록 주소가 지정된 섹터들의 집합이다.(섹터들이 연속적이지 않음)
볼륨은 두가지 개념을 아래와 같이 가진다.

 - 여러 개의 저장 볼륨에서 한개의 저장 볼륨으로 조합하는 것
 - 저장 볼륨들을 독립적인 파티션들로 분할하는 것


볼륨으 더 작은 볼륨들로 나뉘거나 합쳐질 수 있다.


[파티션]
파티션은 볼륨 개념 중 하나로 볼 수 있으며, 볼륨에 연속적인 섹터들의 집합으로 설명 할 수 있다.(섹터들이 연속적임)
일반적인 파티션 시스템은 한 개 이상의 테이블을 가지고 있으며, 각 테이블 엔트리는 하나의 파티션을 설명 한다.
테이블 엔트리의 데이터는 파티션의 시작과 마지막 섹터, 파티션의 유형 정보를 가지고 있다.
파티션 시스템은 볼륨의 레이아웃을 구성하는 것인데, 레이아웃을 구성하기 위해서는 테이블 엔트리의 정보 중 시작과 마지막의 섹터를 필수적으로 알아야 한다. 반면 타입이나 설명같은 테이블 엔트리 데이터는 부가적인 데이터이기 때문에 파티션 시스템에 꼭 필요한 정보는 아니며, 잘못된 값을 가지더라도 레이아웃을 구성하는데에는 문제가 없다.
또 파티션 시스템은 독립적이어서 운영체제나 하드디스크에 영향을 받지 않는다. 그래서 OS들은 하드디스크 타입(ATA, SCSI, IDE 등)에 상관 없이 모든 시스템에서 동일한 파티션 시스템을 사용한다.


대표적인 OS(Windows, Unix)의 볼륨 사용 차이에 대해서 알아보자.

[Windows와 Unix의 볼륨 사용 차이]
Windows와 Unix의 볼륨 사용에 있어서 차이가 있으며, 그 차이는 아래와 같다.

 - Windows의 경우 C, D와 같은 드라이브 문자가 있으나, Unix의 경우 이러한 문자들이 없다.
 - Unix는 '/'로 시작하는 루트 디렉토리가 있고 그 하위에 다른 디렉토리나 볼륨이 위치 하고 있다.


[볼륨 조합]
대부분 큰 시스템들은 여러개의 디스크를 하나처럼 보이게 만드는 볼륨 조합 기술들을 사용한다.
이 기술은 하나의 디스크가 손상되는 것을 대비해 데이터 중복성을 더하기 위해 개발 되었으며 데이터를 여러 디스크에 쓸 수 있으면 어떠한 특정 디스크에 문제가 발생 하였을 때 다른 디스크에서 동일한 데이터를 제공 받을 수 있기 때문이다.
또 다른 기술개발 이유로는 저장 공간을 더 쉽게 추가 하기 위해서 이다. 
볼륨 스패닝이라 불리는 볼륨이 있는데 이 볼륨은 여러 볼륨들의 전체 저장 공간을 조하해서 동작하도록 만든 하나의 큰 볼륨이다. 






'[+] Forensic' 카테고리의 다른 글

File System - Partition (1)  (0) 2012.01.18
File System - Volume (2)  (0) 2012.01.17
File System - Volume (1)  (0) 2012.01.17
데이터 수집  (0) 2012.01.15
하드디스크의 숨겨진 영역  (2) 2012.01.15