Ext4 파일시스템은 Ext3 파일시스템의 개선버전으로 현재 대부분 리눅스에서 사용중이며 포렌식 분석 도구들도 해당 파일시스템 분석을 지원하고 있다.
많은 부분이 앞서 설명하였던 Ext 파일시스템과 동일하여 따로 파일시스템의 참조모델별로 분류하여 설명하지 않고 달라진 부분과 특징 등에 대해서 다루어 볼 것이다.
일단 Ext4 파일시스템에 특징 부터 알아보자.
[Ext4 특징]
- 대용량 파일시스템 : Volume 크기는 1EiB, 파일 용량은 16TB까지 지원한다.
- Extents : 이전 Ext 파일시스템은 Block mapping을 지원하였는데 Ext4 파일시스템 부터는 Extents 방식을 지원하여 블록 단편화 현상을 줄여준다.
- 호환성 : Ext4 이전의 파일시스템을 Ext4형식으로 변경하여 Ext4 파일시스템에 마운트 하여 성능향상 상태로 사용 할 수 있다. 또 Ext4 파일시스템을 Ext4 이전 파일시스템에 마운하여 사용 할 수도 있다.
* 참고 : Ext4 파일시스템에서 Block mapping 대신 Extents를 사용한다면 Ext4 이전 파일시스템에 마운트 될 수 없다.
- 저널 체크섬 : 이전 Ext 파일시스템에는 없던 저널 체크섬이 추가되었다.
- 64000개 서브 디렉토리 : Ext4 파일시스템 이전 버전들은 서브 디렉토리의 최대 개수가 32000개 였다. 하지만 이번 버전에서는 64000개로 늘어나 조금 더 많은 디렉토리를 생성 할 수 있게 되었다.
- 온라인 조각 모음 : Ext4 파일시스템에서 새로 생긴 기능이다.
- 파일시스템 검사 속도향상 : 파일시스템에서 사용하지 않는 부분을 건너띄고 검사하여 검사 속도가 향상되었다.
- 타임스탬프 : Ext4 파일시스템 이전 버전에서는 초 단위로 1901년 12월 14일 ~ 2038년 1월 18일까지 시간을 기록 할 수 있었지만 Ext4 파일시스템부터는 나노초로 계산되며 1901년 12월 14일 ~ 2514년 4월 25일 까지 기록 할 수 있게 되었다.
- 지연할당 : 해당 기능은 Ext4 파일시스템에서 새로 생긴 기능으로 어떤 파일에 대한 블록 할당을 최대로 지연하여 가능한 연속블록에 할당 되게끔 하는 기능이다.
- 멀티블록할당 : Ext4 파일시스템 이전 버전에서는 파일 기록에 여러 블록이 필요하면 보통 떨어져 있는 블록들을 할당하여 파일을 기록하곤 했는데 Ext4 파일시스템 버전부터는 멀티블록할당자를 통해 블록 여러개를 동시에 할당하여 블록이 연속되어 할당 되게끔 한다. 또 이러한 기능으로 인해 블록 호출 회수가 줄어들어 할당 속도도 빨라졌다.
'[+] Forensic' 카테고리의 다른 글
| File System - Ext4 (3) (0) | 2012.03.11 |
|---|---|
| File System - Ext4 (2) (0) | 2012.03.09 |
| File System - UFS (9) (0) | 2012.03.08 |
| File System - UFS (8) (0) | 2012.03.07 |
