이번 글에서는 FAT 파일시스템에서 파일시스템 참조 모델과 비슷한 영역을 알아 볼 것이다.
(비슷하다고 하는 이유는 FAT 파일시스템은 각 참조 모델들이 딱 정의되는 파일시스템이 아니기 때문이다.)

파일시스템 참조 모델을 다시 한번 간단히 설명하면 "해당 파일시스템을 전체적으로 설명하는 데이터를 포함하고 있는 참조 모델이다" 라고 설명 할 수 있다. 

FAT 파일시스템에서 그나마 파일시스템 참조 모델과 비슷한 영역이 부트 섹터 영역이다.

부트 섹터 영역은 FAT 파일시스템 물리적 레이아웃에서 예약 영역에 위치 하고 있다.

 * 참고 : 부트 섹터는 예약 영역 중에서도 볼륨 첫 번째 섹터에 위치 하고 있다. 

 * 참고 : MS사에서는 예약 영역을 BPB(BIOS Parameter Block) 이라고 부르며, 부트 섹터라는 용어는 사용하지 않는다.


부트 섹터는 파일시스템을 설명하는 데이터를 포함하고 있긴 하지만, FAT의 종류(FAT 12/16/32)를 설명하는 데이터는 포함하고 있지 않다. 부트 섹터는 부트 섹터 데이터를 연산해서 파일시스템 종류를 결정 한다.

FAT32 파일시스템 부트 섹터에는 부트 섹터 백업본의 섹터 주소, 주/부 버전번호와 같은 추가 데이터들이 포함되어 있다.

FAT32 파일시스템은 섹터 0(부트 섹터)에 존재하는 원본이 손상되었을 때 부트 섹터 백업본을 사용 할 수 있다.

MS 문서에서는 원본 부트 섹터가 손상되었는지 자동 검사 하기 위해 "부트 섹터 백업본이 섹터 6(일곱 번째 섹터)에 있어야 한다"고 설명한다.

FAT32 파일시스템은 다음에 할당 가능한 클러스터 위치, 전체 크기에 대한 정보를 포함하는 FSINFO 구조체를 가지고 있다.

FSINFO 구조체에 포함되어 있는 데이터들은 운영체제를 안내하기 위해 존재하며, 안내만 하는 역할을 하므로 데이터의 정확성을 보증하지 않는다.

그럼 이제 부트 섹터와 분석방법에 대해서 알아보자.

[필수 부트 섹터 데이터]
FAT 파일시스템의 물리적 레이아웃 중 데이터 영역이 있는데 이 데이터 영역은 FAT 12/16과 FAT 32가 조금 다르다.
FAT 12/16 파일시스템의 경우 데이터 영역 시작 주소는 루트 디렉토리 주소 다음으로 예약되어 있다. 하지만 FAT32 파일시스템의 경우 루트 디렉토리는 데이터 영역 어디든지 위치 할 수 있다.

 * 참고 : FAT 32 파일시스템의 루트 디렉토리는 위 설명처럼 될 수도 있지만 대부분은 데이터 영역 시작 주소에
위치한다. 


FAT 32 파일시스템은 루트 디렉토리의 위치와 크기를 데이터 영역 시작에 불량 섹터가 있을 경우 루트 디렉토리가 적절하게 대처할 수 있도록 필요한 만큼 조절 할 수 있도록 하였다.
반면 FAT 12/16 파일시스템의 루트 디렉토리는 부트 섹터에 정의된 위치와 크기로 설정 된다.
FAT 32 파일시스템의 루트 디렉토리 시작 주소는 부트 섹터에서 처음만 제공하고, 크기는 FAT 구조체에서 에서 결정 한다. 

 

[부가 부트 섹터 데이터]
부가 부트 섹터 데이터는 필수 부트 섹터가 가지고 있는 데이터 외에 많은 추가 정보들을 포함하고 있다.
해당 데이터들은 파일시스템을 구동하기 위한 데이터들이 아닌 편의를 위한 데이터 이므로 정확성은 보증되지 않는다. 예로 OEM Name이 부가 부트 섹터 데이터에 포함된다. OEM Name은 필수적인 데이터가 아니므로 사용자가 임의로 변경이 가능하다. 


[부트 코드]
부트 코드는 파티션 테이블 처리와 운영체제의 위치를 파악하는 명령어이다. FAT 파일시스템의 부트코드는 부트코드를 완전하게 분리하는 유닉스의 파일시스템과는 다른 형태를 띄고 있다. 부트 섹터의 첫 3byte는 CPU에게 부트 코드의 나머지 설정 데이터로 이동하라는 기계어 코드(점프 명령어)이다.
FAT 종류마다 부트 섹터로 예약 되어 있는 byte offset은 아래와 같다.

 - FAT 12/16 : 62 ~ 509
 - FAT 32 : 90 ~ 509


위 byte offset들은 부트 코드를 포함하고 있는 곳이기 때문에 일반적으로 다른 곳에 사용되지 않으며, 위 byte offset 다음에 오는 섹터들은 추가 부트 코드를 위해 사용 될 수 있다.
또 FAT 파일시스템은 부팅을 하지 않아도 부트 코드를 갖는다. 해당 부트 코드는 해당 시스템을 부팅 하기 위해 다른 디스크가 필요하다는 메시지를 출력하는 역할을 하며, 출력이 된 후 디스크 MBR 부트 코드에서 FAT 부트 코드를 호출한다. 호출 후 부트 코드는 적절한 OS 파일들을 위치시키고 적재하여 실행 시킨다.


[분석]
부트 섹터를 분석하는 이유로는 대상 파일시스템을 좀 더 자세히 분석하기 위하여 파일시스템의 레이아웃과 세부적인 설정들을 파악하기 위함이다. 분석과정에서 디스크의 포맷 OS, 히든 데이터 등을 발견 할 수 있기 때문이다.
FAT 파일시스템 설정을 파악 하기 위해서는 부트 섹터 위치를 파악 한 후 그곳에 포함되어 있는 데이터들을 처리하면 된다. 예를 들어보면, 부트 섹터를 통해 파일시스템의 물리적인 레이아웃 들의 위치를 파악 할 수 있고, FAT 32 파일시스템의 경우 FSINFO 데이터 구조체의 위치를 알아내어 최근 활동 상태에 대한 단서를 찾아 낼 수 있다.

 * 참고 : FSINFO 구조체는 파일시스템의 섹터 1(두 번째 섹터)에 위치한다. 

분석 시 주의해야 할 사항은 히든 데이터의 위치이다. 히든 데이터가 존재 한다고 추측 할 수 있는 곳은 아래와 같다. 

 - 부트 섹터 데이터와 마지막 시그니처 사이의 450byte 크기의 공간
 - 예약 영역(부트 섹터와 FSINFO를 할당하고 남은 공간)
 - 볼륨 슬랙 공간(파일시스템 마지막과 볼륨 마지막 사이 공간)


마지막으로 원본 부트 섹터가 사용자에 의해 변경되었는지 검사 하는 것이 좋다. FAT 32 파일시스템의 경우 섹터 6에 부트 섹터 백업본이 있어 이 방법이 가능하다. 


'[+] Forensic' 카테고리의 다른 글

File System - FAT (4)  (0) 2012.02.01
File System - FAT (3)  (0) 2012.01.31
File System - FAT (2)  (0) 2012.01.31
File System - FAT (1)  (0) 2012.01.30
File System (5)  (0) 2012.01.28
이번 글 에서는 파일시스템 파일 이름 참조 모델과 응용 프로그램 참조 모델에 대해서 알아 볼 것이다.

일단 파일 이름 참조 모델부터 알아보자.

[파일 이름 참조 모델]
해당 참조 모델은 파일명을 포함하며, 사용자 입장에서 메타 데이터 참조 모델을 통한 파일 접근이 아닌 파일 명으로 접근 하게 끔 도와준다. 이 참조 모델이 포함하는 데이터는 파일명과 해당 파일의 메타 데이터 엔트리 주소이다.
아래는 파일 이름 참조 모델의 개념이다.

[파일 이름 기반 파일 복구]
해당 기술은 파일 이름 참조 모델이 가지고 있는 메타 데이터 엔트리 주소를 이용하여 파일을 복구 하는 기술이다. 메타데이터 엔트리는 파일에 할당 된 클러스터 주소를 가지고 있기 때문에 이러한 복구가 가능하다.

[그림 1 - 파일 이름 참조 모델과 메타 데이터 참조 모델의 관계]

이 기술에서 주의해야 할 점이 있다. 만약 첫 번째로 특정 메타 데이터 엔트리에 할당 되었던 파일 이름이 비 할당 상태가 되고 특정 메타 데이터 엔트리에 새로운 파일명이 할당 되었다가 새롭게 할당 되었던 파일명이 비 할당 상태가 된 상태에서 조사관이 분석을 수행 한다면 조사관은 두 파일명 간의 할당 순서를 파악하지 못하게 된다.
이렇듯 파일 이름을 기준으로 지워진 파일들을 조사하거나 복구 할 때에는 메타 데이터와 클러스터들이 새로운 파일에 다시 할당 될 수 있다는 점을 명심해야 한다.
 

 
이번에는 분석 기술에 대하여 알아보도록 하자.

[파일명 목록 작성]
해당 기술은 이름, 경로, 파일 확장자 기반으로 증거를 검색할 때 사용된다. 이 기술의 기본적 방법은 파일시스템의 루트 디렉토리 위치를 파악하는 것이다. 루트 디렉토리의 레이아웃은 메타데이터 엔트리에 저장되어 있다.
디렉토리 위치를 파악하고 처리 한 후 파일의 목록과 그것들에 해당하는 메타 데이터 주소를 얻는다.
대부분의 도구들은 이러한 기능을 가지고 있으며, 메타 데이터 참조 모델의 데이터와 파일 이름 참조 모델의 데이터를 통합하여 분석해 사용자는 두 정보를 한번에 확인 할 수 있다. 

 

[파일명 검색]
해당 기술은 전체 파일명을 모를 때 사용하는 기술이다. 해당 기술의 방법은 아래와 같다.

 - 디렉토리 내용들을 불러와 하나씩 처리한 후 디렉토리의 각 엔트리와 지정된 패턴(검색 문자열)과 비교한다.

또 다른 검색 방법으로는 메타 데이터 엔트리에 할당 된 파일명을 검색하는 방법이다.
이 방법은 클러스터에서 증거를 찾은 후 해당 클러스터를 할당한 메타 데이터 구조체를 검색할 때 사용된다. 


[일관성 검사]
해당 기술은 할당 된 모든 파일명이 할당된 메타 데이터 구조체를 가리키고 있는지 증명하는 기술이다. 이 기술은 같은 파일 내용에 여러 파일명이 있는 파일시스템에 적합하다.  


[영구 삭제 기술]
해당 기술은 파일 이름 참조 모델의 데이터인 파일명과 메타 데이터 주소를 지운다. 또 다른 방법으로는 파일명 구조체에 특정 값을 덮어 씌어 엔트리는 존재하지만 더 이상 해당 데이터가 유효하지 않도록 한다.
또 다른 방법으로는 파일명 목록을 얻어와 삭제된 파일명을 기존의 파일명으로 덮어 씌우는 것이다. 이 방법은 복잡하고 파일명을 숨기는 기술이어서 조사관들이 조사 수행 시 어떤 파일에 해당 기술이 사용되었는지 알 수 없다. 

 
이번에는 마지막 파일시스템 참조 모델인 응용 프로그램 참조 모델에 대해서 알아 보도록 하겠다.

[응용 프로그램 참조 모델]
해당 참조 모델에 포함되는 데이터는 파일시스템에 있어서 필수적인 데이터는 아니지만 일부 파일시스템은 해당 참조 모델의 데이터를 포함한다.  

[파일시스템 저널]
파일시스템의 저널은 프로그램이 문제 없이 실행되기 위해 구성 된 것이다. 원리는 아래와 같다.

 - 파일시스템에 메타데이터가 변경되기 전 저널에 변경 되는 것을 알리는 엔트리가 생성 됨
 - 메타데이터가 변경 되면 저널에는 변경 되었다는 또 다른 엔트리가 생성 됨
 - 만약 프로그램이 실행 되는 도중에 프로그램이 손상되었을 때 점검 프로그램은 해당 프로그램의 저널을
   읽어 완성되지 않은 엔트리 위치를 확인 함 
 - 해당 프로그램의 엔트리 위치를 확인하여 복구를 완료하면 저널은 엔트리를 지우고 원래 상태로 돌아 감 


이처럼 프로그램 동작에 도움을 주는 기능이지만 파일시스템 동작에 있어서 필수적인 기능은 아니기 때문에 응용 프로그램 참조 모델에 속하는 것이다. 

 

[응용 프로그램 기반 파일 복구]
해당 기술은 시그니처를 기반으로 검색을 하는 기술이다. 대부분의 파일들은 표준적인 시그니처를 가지게 되는데 해당 기술은 그러한 시그니처들을 이용하여 검색을 하는 기술이다. 대표적인 도구로는 foremost가 있다. foremost는 각 파일시그니처가 목록화 되어 있는 설정 파일을 기반으로 동작한다. 


'[+] Forensic' 카테고리의 다른 글

File System - FAT (2)  (0) 2012.01.31
File System - FAT (1)  (0) 2012.01.30
File System (5)  (0) 2012.01.28
File System (4)  (0) 2012.01.27
File System (3)  (0) 2012.01.26
이번 글에서는 파일시스템 참조 모델 중 하나인 내용 참조 모델에 대해서 알아 볼 것이다.

내용 참조 모델은 데이터를 저장 할 수 있는 파일과 디렉토리를 할당하는 저장 공간이 있다.

보통 해당 참조 모델의 데이터 할당 공간은 같은 크기의 그룹들로 구성되며, 각 파일시스템들은 이러한 그룹들을 클러스터 또는 블록이라고 지칭한다.

해당 참조 모델의 분석은 지워진 데이터를 복구하고, 로우 레벨(low level)의 검색을 수행하는 것으로 이루어진다.

이제부터 분석을 위한 클러스터 처리 방법을 하나씩 알아보도록 하겠다.

[논리적 파일시스템 주소]
파일시스템들은 논리적 볼륨 주소를 사용한다. 또 클러스터를 구성하기 위해 연속적인 섹터들을 그룹화 해야 하기 때문에 논리적 파일시스템 주소를 할당한다. 대부분의 파일시스템들은 볼륨의 모든 섹터에 논리적 파일시스템 주소를 부여한다.

 * 참고 : FAT 파일시스템은 논리적 파일시스템 주소를 할당하지 못함 

파일시스템은 논리적 볼륨 주소의 두 섹터당 1개의 클러스터를 할당하며, 논리적 볼륨 주소 네 번째 섹터까지는 주소를 할당하지 않는다.

[그림 1 - 논리적 볼륨 주소와 논리적 파일시스템 주소의 관계]

위 이미지에서 14번 섹터(열 다섯 번째 섹터)부터는 볼륨 슬랙 공간이다.


[클러스터 할당 정책]
클러스터는 두가지 상태가 있는데, 하나는 할당 된 상태이고 또 하나는 할당 되지 않은 상태이다.
기본적인 할당 정책으로는 새로운 파일을 생성하거나 이미 존재하는 파일에 내용을 추가할 때 운영체제는 비 할당 클러스터를 찾고 해당 파일에 비 할당 클러스터를 할당하는 정책이 있다.
대부분의 운영체제들은 연속적인 클러스터를 할당하지만 항상 그렇지만은 않고, 또 운영체제마다 클러스터 할당 정책이 다를 수 있다.
할당 정책에는 다음과 같은 것들이 있다.

 - 첫 번째 적용 할당 정책 : 파일시스템 첫 클러스터부터 검색하여 할당 가능한 클러스터를 찾는 정책, 이 정책
                                  을 사용하면 하나의 클러스터를 할당 후 다시 클러스터를 할당하려고 할 때 파일
                                  시스템의 첫 번째 클러스터부터 다시 검색하여 할당 가능한 클러스터를 찾게 된다.
 - 다음 적용 할당 정책 : 최근에 할당 되었던 클러스터 다음부터 검색을 시작하여 할당 가능한 클러스터를 찾는
                              정책이다
 - 자동 맞춤 할당 정책 : 파일 데이터 크기에 맞는 연속적인 클러스터를 검색하는 정책, 하나의 파일이 몇 개의
                              클러스터를 필요로 하는지 안다면 좋은 정책이지만, 파일의 크기가 증가할 때나 새로운
                              클러스터를 어딘가에 할당할 때에는 단편화가 생길 수 있다.


각 운영체제는 위와 같은 정책을 파일시스템을 위해 선택 할 수 있다. 일부 파일시스템은 어떤 정책을 사용할지 지정되지만, 강제적인 것은 아니기 때문에 조사 시 해당 파일시스템의 구현 방식을 테스트 해봐야 한다. 


[손상된 클러스터]
많은 파일시스템에는 손상된 클러스터를 표시 할 수 있는 기능이 있다. 이 표시를 운영체제가 확인하여 해당 클러스터는 할당 하지 않도록 하였는데, 최근에는 하드디스크들이 자동으로 불량 섹터를 탐지하여 남은 공간으로 해당 섹터를 교체하기 때문에 별도로 표시하는 기능이 필요 없어졌다. 이러한 기능을 무시하고 파일시스템에서 데이터를 숨기는 일은 쉬운일이 아니다. 많은 무결성 도구들이 파일시스템 손상을 보고 하지만 실제로 손상되었는지에 대한 증명은 할 수 없다. 이러한 점을 이용하여 악의적인 사용자나 프로그램들은 자신이 숨기고자 하는 클러스터를 직접 손상된 클러스터 목록에 추가하여 데이터를 숨긴다. 만약 무결성 도구의 결과만을 전적으로 믿는다면 이는 악의적인 행위로 인해 손상된 클러스터로 둔갑한 클러스터의 중요 데이터를 놓치는 셈이 된다. 


이제부터는 분석 기술들에 대하여 알아보도록 하겠다.

[클러스터 보기]
해당 기술은 특정 파일에 클러스터가 할당 되었거나, 특별한 의미가 있는 증거의 주소를 알려고 할 때 사용하는 기술이다.
많은 FAT32 파일시스템에서 섹터 3은 사용하지 않아 0이 되어야 하는데, 만약 0이 아니라 다른 값이 있다면 악의적인 사용자나 프로그램이 데이터를 숨겼을 가능성이 있으므로 섹터 3의 내용을 확인하여야 한다.
기술의 방법은 간단하다. 논리적 파일시스템 주소로 접근하여 섹터의 길이를 계산 한 후 자신이 읽고자 하는 섹터의 번호를 곱하면 읽고자 하는 섹터의 오프셋이 계산된다. 그 후 도구로 해당 섹터의 내용을 읽어들이면 된다.
예를 들어 클러스터의 길이가 10byte인 파일시스템의 열 번째 섹터(9번)를 읽고자 한다면 10 * 9 = 90 이라는 오프셋이 나오게 된다.

[그림 2 - 클러스터 계산]


[논리적 파일시스템 수준에서의 검색]
이 기술은 증거의 위치를 찾는 기술이다. 해당 기술은 특정 문구나 값을 각 클러스터에서 검색한다. 이 기술은 물리적인 섹터 순서를 이용하며, RAID나 디스크 스패닝과 같은 파일시스템에서는 정확하지 않은 결과를 보여줄 수도 있다. 


[클러스터 할당 순서]
위에서 알아봤듯이 클러스터 할당 정책에는 몇 가지가 있었다. 만약 두 개 이상의 클러스터를 할당하는 순서가 중요하다면, 할당 정책을 결정하는 운영체제를 조사 해 볼 필요가 있는데 이것은 운영체제에서 사용하는 정책을 직접 확인해야 하므로 어렵고, 수사관은 클러스터 상태에 따라 발생 할 수 있는 시나리오들을 조사할 필요가 있다. 해당 기술은 증거로서 클러스트를 인식 하고 발생한 사건을 재구성하는데에 사용 된다.


[일관성 검사]
이 기술은 모든 참조 모델에 중요한 분석 기술이다. 이 기술은 파일시스템이 의심스러운 상태인지 파악하게 도와주는 기술이며, 내용 참조 모델의 일관성 검사는 메타데이터 참조 모델의 데이터를 사용하고 모든 할당된 클러스터가 정확하게 하나의 메타데이터 참조 모델 엔트리를 갖는지 검증한다. 만약 하나의 클러스터가 엔트리를 한 개도 가지고 있지 않거나 두 개 이상의 엔트리를 가지고 있다면 사용자가 클러스터 할당 상태를 직접 설정한 것을 의미한다.
클러스터가 한 개도 메타데이터 엔트리를 가지고 있지 않은 것은 고아 클러스터라고 지칭한다.
일관성 검사의 또 다른 방법으로는 클러스터를 조사하는 방법이다. 많은 수집 도구들은 손상된 클러스터를 0으로 채우는데 만약 손상된 클러스터 목록 중 0이 아닌 다른 값을 가지고 있는 클러스터가 있다면 해당 클러스터는 사용자가 직접 손상된 클러스터 목록에 추가한 클러스터로 볼 수 있어 해당 클러스터를 조사해 봐야 한다.


위 분석 방법들을 어렵게 하는 "영구 삭제 기술" 이라는 것이 있다. 이 기술은 파일에 할당된 클러스터나 모든 비 할당 클러스터에 0이나 난수 데이터를 덮어 씌우는 기술이다.

만약 이 기술이 찾고자 하는 파일의 클러스터에 사용되었다면 파일을 찾기란 불가능하다. 하지만 조사관은 해당 파일의 임시 파일본이라도 찾으려고 노력해야 한다.





 

'[+] Forensic' 카테고리의 다른 글

File System (5)  (0) 2012.01.28
File System (4)  (0) 2012.01.27
File System (3)  (0) 2012.01.26
File System (2)  (0) 2012.01.26
File System (1)  (0) 2012.01.26
이번 글에서는 파일시스템 참조 모델 중 하나인 파일시스템 참조 모델에 대하여 알아보도록 하겠다.

파일시스템 참조 모델은 해당 파일시스템이 고유한지, 다른 중요한 데이터(다른 참조 모델 데이터)들이 어디에 위치하였는지 구분하는 전반적인 데이터를 포함하고 있다.

대부분 다른 참조모델 데이터의 위치를 구분하는 데이터들은 첫 번째 섹터 표준 데이터 구조체에 저장된다.

이 참조 모델의 데이터가 손상된다면 다른 참조 모델의 데이터 구조체 위치를 파악하기 어렵게 된다.

해당 참조 모델을 분석 할 때에는 기본적으로 전반적인 레이아웃 정보들과 파일시스템 버전, 파일시스템 생성 시간과 응용 프로그램, 파일시스템 레이블을 중심으로 분석한다.

해당 참조 모델의 데이터들은 다른 참조 모델 데이터들에 비해 보통 독립적이어서 수사관이 그 데이터를 표시하거나 분석 도구에서 사용되는 것을 제외하고는 활용도가 높지 않다.

해당 참조 모델의 무결성 검사는 파일시스템이 있는 볼륨 크기와 파일시스템 크기를 비교하는 것인데 만약 볼륨이 더 크다면 볼륨 슬랙 공간이라고 부르는 섹터들에 사용자가 데이터를 숨겼을 수도 있어 무결성 검사를 수행 해 보는 것이 좋다.

 * 참고 : 슬랙공간이란, 물리적으로는 할당되었지만 논리적으로 할당되지 않아 물리적인 구조와 논리적인 구조의 차이로 생기는 일종의 낭비 공간이다.

 

'[+] Forensic' 카테고리의 다른 글

File System (4)  (0) 2012.01.27
File System (3)  (0) 2012.01.26
File System (2)  (0) 2012.01.26
File System (1)  (0) 2012.01.26
File System - Partition (7)  (0) 2012.01.25
파일시스템은 사용자에게 파일과 디렉토리에 데이터를 저장 할 수 있도록 장치를 제공한다.

대부분의 경우 파일시스템은 특정 컴퓨터로부터 독립적이며 데이터를 찾기 위한 정보를 제공하는 구조적 데이터와 사용자 데이터로 구성 된다.

파일시스템은 여러 참조 모델들이 있다. 참조 모델은 찾고자 하는 데이터의 위치를 쉽게 결정 할 수 있도록 하는 지표가 되기도 하고 서로 다른 파일시스템의 차이점을 쉽게 비교 할 수 있도록 해주기도 한다.

이런 참조 모델에는 다음과 같은 것들이 있다.

 - 파일시스템 : 전체 파일시스템 정보를 포함
 - 내용 : 파일의 실제 내용을 구성하는 데이터를 포함
 - 메타데이터 : 파일을 설명하는 데이터를 포함(대표적으로 FAT 디렉토리 엔트리, NTFS MFT, UFS(Ext3)의 inode 구조)
 - 파일 이름 : 파일명이 할당된 데이터를 포함
 - 응용 프로그램 : 특별한 기능을 제공하는 데이터를 포함


파일 시스템의 모든 데이터는 위 참조 모델 중 하나에 포함되게 된다.  아래는 각 참조 모델들의 관계를 도식화 한 것이다.

[그림 1 - 참조 모델 관계]

위 참조 모델들을 앞으로 하나씩 알아 볼 것이다.

 

'[+] Forensic' 카테고리의 다른 글

File System (3)  (0) 2012.01.26
File System (2)  (0) 2012.01.26
File System (1)  (0) 2012.01.26
File System - Partition (7)  (0) 2012.01.25
File System - Partition (6)  (0) 2012.01.24

+ Recent posts