'파일시스템 포렌식' 태그의 글 목록 (12 Page)

본문 바로가기

파일시스템 포렌식

File System - FAT (3) 이번 글에서는 FAT 파일시스템에서 내용 참조 모델과 비슷한 데이터를 포함하고 있는 데이터 영역에 대해서 알아 볼 것이다. 데이터 영역은 클러스터로 구성되어 있다. 클러스터 란, 연속적인 섹터의 그룹을 말하며, 섹터의 개수는 2의 제곱(1, 2, 4, 8, ...) 이어야만 한다. MS 명세서에 따르면 클러스터의 크기는 최대 32KB이어야 한다. 클러스터는 주소가 있는데 주소가 0이나 1이 아닌 2라는 주소부터 시작한다.(= 첫 번째 클러스터는 클러스터 2) 이제부터 클러스터와 분석 방법을 알아보자. [첫 번째 클러스터 찾기] FAT 파일시스템은 첫 번째 클러스터인 클러스터 2부터 시작하지 않아 위치를 쉽게 찾지는 못한다. FAT 파일시스템은 모든 논리적 볼륨 주소가 논리적 파일시스템 주소로 맵핑되지 않.. 더보기

File System - FAT (2) 이번 글에서는 FAT 파일시스템에서 파일시스템 참조 모델과 비슷한 영역을 알아 볼 것이다. (비슷하다고 하는 이유는 FAT 파일시스템은 각 참조 모델들이 딱 정의되는 파일시스템이 아니기 때문이다.) 파일시스템 참조 모델을 다시 한번 간단히 설명하면 "해당 파일시스템을 전체적으로 설명하는 데이터를 포함하고 있는 참조 모델이다" 라고 설명 할 수 있다. FAT 파일시스템에서 그나마 파일시스템 참조 모델과 비슷한 영역이 부트 섹터 영역이다. 부트 섹터 영역은 FAT 파일시스템 물리적 레이아웃에서 예약 영역에 위치 하고 있다. * 참고 : 부트 섹터는 예약 영역 중에서도 볼륨 첫 번째 섹터에 위치 하고 있다. * 참고 : MS사에서는 예약 영역을 BPB(BIOS Parameter Block) 이라고 부르며, 부.. 더보기

File System - FAT (1) 이번 글부터는 파일시스템 종류 중 하나인 FAT 파일시스템에 대해서 알아 볼 것이다. 이전 글 까지 파일시스템의 참조 모델에 대해서 알아 보았는데 이제부터는 각 파일 시스템 종류에서 각 참조 모델을 통해 어떻게 파일시스템이 이루어져 있는가를 알아 볼 것이다. 그럼 이제부터 FAT에 대해서 알아보자. [FAT] FAT(File Allocation Table) 파일시스템은 흔히 볼 수 있는 파일시스템으로 파일시스템 중 가장 간단한 구조를 가지고 있다. 종류에는 FAT12, FAT16, FAT32 가 있으며, 모든 윈도우와 대부분의 유닉스 기반 운영체제들에서 모두 지원하고 보통 우리가 사용하는 디지털 카메라의 플래시 카드와 USB 드라이브에서 볼 수 있다. FAT 파일시스템은 가장 간단한 구조이지만 간단한 구.. 더보기

File System (5) 이번 글 에서는 파일시스템 파일 이름 참조 모델과 응용 프로그램 참조 모델에 대해서 알아 볼 것이다. 일단 파일 이름 참조 모델부터 알아보자. [파일 이름 참조 모델] 해당 참조 모델은 파일명을 포함하며, 사용자 입장에서 메타 데이터 참조 모델을 통한 파일 접근이 아닌 파일 명으로 접근 하게 끔 도와준다. 이 참조 모델이 포함하는 데이터는 파일명과 해당 파일의 메타 데이터 엔트리 주소이다. 아래는 파일 이름 참조 모델의 개념이다. [파일 이름 기반 파일 복구] 해당 기술은 파일 이름 참조 모델이 가지고 있는 메타 데이터 엔트리 주소를 이용하여 파일을 복구 하는 기술이다. 메타데이터 엔트리는 파일에 할당 된 클러스터 주소를 가지고 있기 때문에 이러한 복구가 가능하다. [그림 1 - 파일 이름 참조 모델과 .. 더보기

File System (3) 이번 글에서는 파일시스템 참조 모델 중 하나인 내용 참조 모델에 대해서 알아 볼 것이다. 내용 참조 모델은 데이터를 저장 할 수 있는 파일과 디렉토리를 할당하는 저장 공간이 있다. 보통 해당 참조 모델의 데이터 할당 공간은 같은 크기의 그룹들로 구성되며, 각 파일시스템들은 이러한 그룹들을 클러스터 또는 블록이라고 지칭한다. 해당 참조 모델의 분석은 지워진 데이터를 복구하고, 로우 레벨(low level)의 검색을 수행하는 것으로 이루어진다. 이제부터 분석을 위한 클러스터 처리 방법을 하나씩 알아보도록 하겠다. [논리적 파일시스템 주소] 파일시스템들은 논리적 볼륨 주소를 사용한다. 또 클러스터를 구성하기 위해 연속적인 섹터들을 그룹화 해야 하기 때문에 논리적 파일시스템 주소를 할당한다. 대부분의 파일시스템.. 더보기

이전 1 ··· 9 10 11 12 13 14 다음

티스토리툴바