'파일시스템 포렌식' 태그의 글 목록 (10 Page)

본문 바로가기

파일시스템 포렌식

File System - NTFS (3) 이번 글에서는 MFT 엔트리 구조에서 속성부분을 알아 볼 것이다. 속성은 많은 타입들이 있으며, 각각의 속성들은 자신의 내부 구조체를 갖는다. NTFS는 다른 파일시스템과 다른 특징의 속성 개념을 가지고 있는데, 이는 바로 파일 내용에 대한 속성이 있다는 것이다. 속성은 3개로 나누어져 있는데 한개의 속성마다 헤더가 존재한다. 아래는 MFT 엔트리의 논리적 구조이며, 속성에 조금 더 초점을 맞춰 표현 한 것이다. [그림 1 - MFT 엔트리 구조] 속성 헤더는 속성의 타입, 크기, 이름을 구분짓는다. 또 해당 값들이 압축, 암호화되었는지를 식별하는 플래그 값도 포함하고 있다. 속성 내용은 형식과 크기가 정해져 있지 않다. 이로 인해 속성 내용의 크기가 엔트리 크기보다 커지는 경우가 발생하여 NTFS에서는.. 더보기

File System - NTFS (2) 이번 글에서는 NTFS에 핵심이라고 말할 수 있는 MFT에 대해서 알아 볼 것이다. 상세히 분석하는 정도는 아니고, 일단 간략하게 알아 본 뒤 조금 더 뒤에서 상세히 분석 해 볼 것이다. 일단 MFT를 설명하기 전에 NTFS의 개념을 알아야 한다. NTFS는 시스템 내에서 중요한 데이터가 파일로 취급된다. 다른 말로 하면 NTFS 시스템 내에서는 관리데이터 들이 파일로 취급받는다. 위와 같은 이유로 관리 데이터들이 일반 파일처럼 파일시스템 어떤 위치에도 위치 할 수 있게 된다. 그래서 NTFS는 다른 파일시스템들과 달리 특정 레이아웃을 가지고 있지 않다. 다만, NTFS 볼륨 첫 섹터에는 부트 섹터가 있고, 부트 섹터에는 부트코드가 포함되어 있을 뿐이다. 개념을 간단히 숙지 했으니 이제 MFT에 대해서 .. 더보기

File System - NTFS (1) 이번 글 부터는 현재 범용적으로 많이 사용되고 있는 NTFS(New Technologies File System)에 대하여 다루어 보도록 하겠다. 이 글에서는 NTFS에 대한 소개만 하도록 하겠다. NTFS는 MS사에서 고안한 파일시스템으로 윈도우 NT, 2000, XP, 2003, 2008, 7등 수많은 버전에서 사용하는 파일시스템이다. 사실 FAT은 이동형 디스크에 많이 사용되며 고정식 디스크에는 대부분 NTFS를 사용한다고 봐도 무리가 없다. NTFS는 많은 특징들을 제공하는데, 많은 특징 만큼 확장성도 뛰어나다. 하지만 뛰어난 만큼의 복잡성을 가지고 있는 파일시스템이어서 분석이 FAT처럼 쉽지만은 않다. NTFS는 신뢰성, 보안, 대용량 장치를 지원하기 위해 설계되었는데, 이 기능들을 많은 시스템.. 더보기

File System - FAT (10) 이번 글에서는 디렉토리 엔트리에 대해서 알아 볼 것이다. 디렉토리 엔트리에는 디렉토리의 이름과 여러 데이터를 대신 설명 해주는 메타데이터가 포함되어 있다. 이러한 엔트리들은 파일과 디렉토리 모두에 할당이 되며 엔트리 위치는 할당 된 파일이나 디렉토리의 부모 디렉토리 클러스터에 위치하게 된다. 엔트리에 저장되는 이름의 최대 길이는 확장자를 제외하고 8글자이며, 확장자는 최대 3글자이다. 디렉토리 엔트리의 바이트 오프셋은 아래와 같으며 부가적 설명이 필요한 항목은 따로 설명을 하도록 하겠다. [그림 1 - 디렉토리 엔트리 바이트 오프셋] - 파일이름의 첫 문자 또는 할당 상태 : 이 항목은 디렉토리나 파일의 이름 첫 번째 문자가 설정되는 부분이며 해당 디렉토리 엔트리가 비 할당 상태일 시 문자대신 "0xE5.. 더보기

File System - FAT (9) 이번 글 에서는 예약영역 다음 섹터부터 시작하는 FAT 영역에 대해서 알아 볼 것이다. FAT 영역은 FAT 파일시스템에서 중요한 역할을 담당하고 있는데, 그 역할은 다음과 같다. - 클러스터 할당 상태 파악 - 어떠한 파일이나 디렉토리에 할당 된 클러스터의 다음 클러스터 주소 파악 FAT은 보통 FAT 파일시스템에서 두 개가 존재하며, 정확한 번호는 부트 섹터에서 할당한다. 첫 번째 FAT은 예약 영역 섹터 다음부터 시작하며, 부트섹터에서 전체크기를 할당 한다. 두 번째 FAT은 만약 존재한다면 첫 번째 FAT 마지막 섹터 다음부터 시작하며, 구성은 같은 크기의 엔트리들로 구성된다. * 참고 : 엔트리에 Header와 Footer는 존재하지 않는다. 각 엔트리 크기는 FAT 종류마다 다른데, 해당 종류.. 더보기

이전 1 ··· 7 8 9 10 11 12 13 14 다음

티스토리툴바