본문 바로가기

파일시스템 분석

TSK(The Sleuth Kit) 사용 매뉴얼 한글 버전!! 얼마전까지 파일시스템을 공부하고 다른것들을 이것저것 하다보니 파일시스템에 대한 전반적인 지식은 존재하지만 깊이 있는 지식들은 가물가물하더군요. 그래서 TSK 사용법도 익힐 겸 다시 한번 공부를 시도 하였습니다. 조금 더 완벽한 문서로 만들어 배포하려 했으나 HPA 영역이 설정 된 디스크의 샘플 이미지를 구하기가 너무 힘들었고 또 제가 문서 꾸미는 것을 잘하지 못하여 이렇게 그냥 배포 합니다... HPA 부분은 조금 더 연구와 수소문을 통해 알아낸 뒤 문서에 업데이트하여 배포하도록 할께요 ^^ 문서에 해당 도구를 이용한 문제풀이나 예제 시나리오를 첨부하려고 했는데 도구의 기능이 너무 좋아 금방 끝나 버릴 것 같아 사용법만 적어 이렇게 배포 합니다. 더보기
File System - FAT (6) 이번 글에서는 FAT 파일시스템에서 파일 생성, 삭제가 어떻게 이루어지는지에 대해서 이야기 할 것이다. 생성, 삭제 수행들은 여러 참조 모델들의 데이터를 이용하여 이루어 지는데 그 과정은 아래와 같다. [파일생성 과정] 디렉토리(dir)는 생성되어 있으며 클러스터의 크기는 4096byte이고 파일 크기는 5000byte라고 가정한 과정이다. 1. 볼륨 섹터 0에서 부트 섹터를 참조하고, FAT 구조체와 데이터영역, 루트 디렉토리의 위치를 파악한다. [그림 1 - 1번 과정] 2. 디렉토리를 찾기 위해 루트 디렉토리에서 각 디렉토리 엔트리를 해석하고, 찾을려고 하는 디렉토리의 이름과 디렉토리 속성을 이용하여 찾으려고 하는 디렉토리의 엔트리를 찾는다. [그림 2 - 2번 과정] * 참고 : 루트 디렉토리에는.. 더보기
File System - FAT (1) 이번 글부터는 파일시스템 종류 중 하나인 FAT 파일시스템에 대해서 알아 볼 것이다. 이전 글 까지 파일시스템의 참조 모델에 대해서 알아 보았는데 이제부터는 각 파일 시스템 종류에서 각 참조 모델을 통해 어떻게 파일시스템이 이루어져 있는가를 알아 볼 것이다. 그럼 이제부터 FAT에 대해서 알아보자. [FAT] FAT(File Allocation Table) 파일시스템은 흔히 볼 수 있는 파일시스템으로 파일시스템 중 가장 간단한 구조를 가지고 있다. 종류에는 FAT12, FAT16, FAT32 가 있으며, 모든 윈도우와 대부분의 유닉스 기반 운영체제들에서 모두 지원하고 보통 우리가 사용하는 디지털 카메라의 플래시 카드와 USB 드라이브에서 볼 수 있다. FAT 파일시스템은 가장 간단한 구조이지만 간단한 구.. 더보기
File System - Partition (4) 이번에는 솔라리스에서 사용하는 파티션에 대해서 알아 볼 것이다. 솔라리스 운영체제는 대용량 서버와 데스크탑 용으로 나누어져 있기는 하지만 대부분 대용량 서버에서 많이 사용하는 운영체제이다. 그렇기 때문에 침해사고 조사시 솔라리스 운영체제를 많이 볼 수 있어 파티션에 대한 이해가 필요하다. 솔라시스의 모든 버전들은 BSD 디스크 레이블과 비슷한 구조를 사용한다. 솔라리스는 Spac 솔라리스와 i386 솔라리스로 나뉘며, 이 두 종류의 파티션 데이터 구조 역시 다르다. 솔라리스에서는 각 파티션을 지칭하는 용어로 '슬라이스' 를 사용한다. 솔라리스 설치 시 디스크에 디스크 레이블을 솔라리스가 생성하게 된다. 정확히 설치되는 위치는 하드웨어 플랫폼에 따라 다르며, 생성되는 디스크 레이블에는 파티션 최대 개수 정.. 더보기