이번 글에서는 파일시스템 참조 모델 중 하나인 파일시스템 참조 모델에 대하여 알아보도록 하겠다.
파일시스템 참조 모델은 해당 파일시스템이 고유한지, 다른 중요한 데이터(다른 참조 모델 데이터)들이 어디에 위치하였는지 구분하는 전반적인 데이터를 포함하고 있다.
대부분 다른 참조모델 데이터의 위치를 구분하는 데이터들은 첫 번째 섹터 표준 데이터 구조체에 저장된다.
이 참조 모델의 데이터가 손상된다면 다른 참조 모델의 데이터 구조체 위치를 파악하기 어렵게 된다.
해당 참조 모델을 분석 할 때에는 기본적으로 전반적인 레이아웃 정보들과 파일시스템 버전, 파일시스템 생성 시간과 응용 프로그램, 파일시스템 레이블을 중심으로 분석한다.
해당 참조 모델의 데이터들은 다른 참조 모델 데이터들에 비해 보통 독립적이어서 수사관이 그 데이터를 표시하거나 분석 도구에서 사용되는 것을 제외하고는 활용도가 높지 않다.
해당 참조 모델의 무결성 검사는 파일시스템이 있는 볼륨 크기와 파일시스템 크기를 비교하는 것인데 만약 볼륨이 더 크다면 볼륨 슬랙 공간이라고 부르는 섹터들에 사용자가 데이터를 숨겼을 수도 있어 무결성 검사를 수행 해 보는 것이 좋다.
* 참고 : 슬랙공간이란, 물리적으로는 할당되었지만 논리적으로 할당되지 않아 물리적인 구조와 논리적인 구조의 차이로 생기는 일종의 낭비 공간이다.
파일시스템 참조 모델은 해당 파일시스템이 고유한지, 다른 중요한 데이터(다른 참조 모델 데이터)들이 어디에 위치하였는지 구분하는 전반적인 데이터를 포함하고 있다.
대부분 다른 참조모델 데이터의 위치를 구분하는 데이터들은 첫 번째 섹터 표준 데이터 구조체에 저장된다.
이 참조 모델의 데이터가 손상된다면 다른 참조 모델의 데이터 구조체 위치를 파악하기 어렵게 된다.
해당 참조 모델을 분석 할 때에는 기본적으로 전반적인 레이아웃 정보들과 파일시스템 버전, 파일시스템 생성 시간과 응용 프로그램, 파일시스템 레이블을 중심으로 분석한다.
해당 참조 모델의 데이터들은 다른 참조 모델 데이터들에 비해 보통 독립적이어서 수사관이 그 데이터를 표시하거나 분석 도구에서 사용되는 것을 제외하고는 활용도가 높지 않다.
해당 참조 모델의 무결성 검사는 파일시스템이 있는 볼륨 크기와 파일시스템 크기를 비교하는 것인데 만약 볼륨이 더 크다면 볼륨 슬랙 공간이라고 부르는 섹터들에 사용자가 데이터를 숨겼을 수도 있어 무결성 검사를 수행 해 보는 것이 좋다.
* 참고 : 슬랙공간이란, 물리적으로는 할당되었지만 논리적으로 할당되지 않아 물리적인 구조와 논리적인 구조의 차이로 생기는 일종의 낭비 공간이다.
'[+] Forensic' 카테고리의 다른 글
| File System (4) (0) | 2012.01.27 |
|---|---|
| File System (3) (0) | 2012.01.26 |
| File System (1) (0) | 2012.01.26 |
| File System - Partition (7) (0) | 2012.01.25 |
