본문 바로가기

볼륨 포렌식

File System - Volume (2) 볼륨 분석에 대해서 알아 볼 차례이다. 볼륨 분석은 조사관이 수행한다기 보다 도구에 의해서 일반적으로 진행된다. 분석 기술은 의외로 간단하다. 분석 도구의 로직을 살펴보면 분석 도구는 인식한 파티션 시스템(이미지)에서 파티션 테이블의 위치를 파악한 후 테이블을 식별하여 테이블의 내용을 확인한다. 테이블에는 파티션의 시작, 마지막 섹터값, 파티션 유형등의 정보가 들어 있으며 이 정보를 토대로 파티션 시스템(이미지)에서 각 볼륨들을 파악한다. 일관성 검사라는 것이 있는데 이 것은 파티션을 제외한 다른 영역에서 증거가 있는지 판단할 수 있는 상태 점검을 제공한다. 조사관은 파티션 테이블을 확인하여 파티션의 시작과 마지막 섹터를 확인하고 각 파티션들을 목록화 하여 파티션 사이에 할당되지 않은 섹터가 있는지 확인.. 더보기
File System - Volume (1) 이제부터 파일시스템과 구조적인 데이터를 저장하는 볼륨에 대해서 알아 볼 것이다. 대부분 파티션과 볼륨을 혼용하는데 이는 잘못된 혼용이며 둘의 의미는 서로 다르다. [볼륨] 볼륨이란 운영체제나 응용 프로그램이 데이터를 저장해 사용하도록 주소가 지정된 섹터들의 집합이다.(섹터들이 연속적이지 않음) 볼륨은 두가지 개념을 아래와 같이 가진다. - 여러 개의 저장 볼륨에서 한개의 저장 볼륨으로 조합하는 것 - 저장 볼륨들을 독립적인 파티션들로 분할하는 것 볼륨으 더 작은 볼륨들로 나뉘거나 합쳐질 수 있다. [파티션] 파티션은 볼륨 개념 중 하나로 볼 수 있으며, 볼륨에 연속적인 섹터들의 집합으로 설명 할 수 있다.(섹터들이 연속적임) 일반적인 파티션 시스템은 한 개 이상의 테이블을 가지고 있으며, 각 테이블 엔트.. 더보기