본문 바로가기

[+] Forensic

File System - HFS+ (3)

계속해서 HFS+의 각 영역에 대해서 알아보자.

[Allocation File]
해당 영역은 현재 블록이 할당 되어 있는지 판단하게 도와주는 비트맵 영역이다. 해당 영역에서 비트가 설정되어 있다면 비트에 해당하는 블록은 할당 되어 있는 것을 뜻하며, 비트가 설정되어 있지 않다면 할당 가능한 상태의 블록을 뜻한다. 


[Extents Overflow]
해당 영역은 하나의 B-tree가 데이터를 모두 저장하지 못하면 남은 데이터들을 저장하는 영역이다. 해당 영역의 오프셋 구조는 다음과 같다.

[그림 1 - Extents Overflow 영역 오프셋 구조]

 - fork 타입 : fork의 타입을 정의하는 필드로 00으로 설정되어 있으면 data fork 타입이며, FF로 설정되어 있으면 resource fork 타입이다.

 * 참고 : fork란, HFS+ 에서 어떠한 파일이나 디렉토리의 크기, 블록 개수, 시작 주소 등을 저장하는 집합이다.
data fork는 data의 위치와 크기에 대한 정보를 가지고 있고 resource fork는 data의 메타데이터 정보를 가지고 있다. 









'[+] Forensic' 카테고리의 다른 글

File System - HFS+ (5)  (0) 2012.03.24
File System - HFS+ (4)  (0) 2012.03.23
File System - HFS+ (3)  (0) 2012.03.23
File System - HFS+ (2)  (0) 2012.03.22
File System - HFS+ (1)  (0) 2012.03.22