본문 바로가기

포렌식

File System - FAT (5) 이번 글은 FAT 파일시스템의 마지막 참조 모델인 파일 이름 참조 모델에 대해서 알아 볼 것이다. (FAT 파일시스템은 응용 프로그램 참조 모델이 존재하지 않음) 파일 이름 참조 모델은 파일 이름 데이터를 가지고 있는 참조 모델로 메타데이터 참조 모델을 분석 할 때에도 언급 했듯이 메타데이터 참조 모델에 파일 이름 데이터가 포함되어 있다. 이제 파일 참조 모델이 파일명을 어떻게 다루는지 알아보자. [파일 이름 참조 모델의 파일 이름 관리] 파일 참조 모델은 파일명의 길이가 8 보다 크거나, 이름에 특별한 문자가 있으면 디렉토리에 LFN(Long File Name) 타입을 추가한다. LFN 타입을 가지고 있는 디렉토리(파일)은 SFN(Short File Name) 이라는 디렉토리 엔트리를 또 갖게 된다. .. 더보기
File System - FAT (4) 이번 글에서는 FAT 파일시스템의 메타데이터 참조 모델에 대해 알아 볼 것이다. 메타데이터 참조 모델은 다른 데이터를 설명하는 데이터가 포함되어 있는 참조 모델로 디렉토리 내용의 저장위치, 날짜, 시간, 허가권 등의 데이터가 포함된다. 메타데이터 참조 모델을 분석함으로써 특정 파일의 추가 정보와 의심스러운 파일을 식별하기 위한 정보를 얻기도 한다. FAT 파일시스템에서는 메타데이터 참조 모델의 데이터를 디렉토리 엔트리 구조체에 저장하며, FAT 구조체를 파일이나 디렉토리 에이아웃에 대한 메타데이터 데이터를 저장하기 위해 사용한다. 이제부터 메타데이터 참조 모델의 각 개념들을 살펴보고 분석방법을 이야기 해 보자. [디렉토리 엔트리] 디렉토리 엔트리란, 파일과 디렉토리마다 할당되는 데이터 구조체를 말한다. .. 더보기
File System - FAT (3) 이번 글에서는 FAT 파일시스템에서 내용 참조 모델과 비슷한 데이터를 포함하고 있는 데이터 영역에 대해서 알아 볼 것이다. 데이터 영역은 클러스터로 구성되어 있다. 클러스터 란, 연속적인 섹터의 그룹을 말하며, 섹터의 개수는 2의 제곱(1, 2, 4, 8, ...) 이어야만 한다. MS 명세서에 따르면 클러스터의 크기는 최대 32KB이어야 한다. 클러스터는 주소가 있는데 주소가 0이나 1이 아닌 2라는 주소부터 시작한다.(= 첫 번째 클러스터는 클러스터 2) 이제부터 클러스터와 분석 방법을 알아보자. [첫 번째 클러스터 찾기] FAT 파일시스템은 첫 번째 클러스터인 클러스터 2부터 시작하지 않아 위치를 쉽게 찾지는 못한다. FAT 파일시스템은 모든 논리적 볼륨 주소가 논리적 파일시스템 주소로 맵핑되지 않.. 더보기
File System - FAT (2) 이번 글에서는 FAT 파일시스템에서 파일시스템 참조 모델과 비슷한 영역을 알아 볼 것이다. (비슷하다고 하는 이유는 FAT 파일시스템은 각 참조 모델들이 딱 정의되는 파일시스템이 아니기 때문이다.) 파일시스템 참조 모델을 다시 한번 간단히 설명하면 "해당 파일시스템을 전체적으로 설명하는 데이터를 포함하고 있는 참조 모델이다" 라고 설명 할 수 있다. FAT 파일시스템에서 그나마 파일시스템 참조 모델과 비슷한 영역이 부트 섹터 영역이다. 부트 섹터 영역은 FAT 파일시스템 물리적 레이아웃에서 예약 영역에 위치 하고 있다. * 참고 : 부트 섹터는 예약 영역 중에서도 볼륨 첫 번째 섹터에 위치 하고 있다. * 참고 : MS사에서는 예약 영역을 BPB(BIOS Parameter Block) 이라고 부르며, 부.. 더보기
File System - FAT (1) 이번 글부터는 파일시스템 종류 중 하나인 FAT 파일시스템에 대해서 알아 볼 것이다. 이전 글 까지 파일시스템의 참조 모델에 대해서 알아 보았는데 이제부터는 각 파일 시스템 종류에서 각 참조 모델을 통해 어떻게 파일시스템이 이루어져 있는가를 알아 볼 것이다. 그럼 이제부터 FAT에 대해서 알아보자. [FAT] FAT(File Allocation Table) 파일시스템은 흔히 볼 수 있는 파일시스템으로 파일시스템 중 가장 간단한 구조를 가지고 있다. 종류에는 FAT12, FAT16, FAT32 가 있으며, 모든 윈도우와 대부분의 유닉스 기반 운영체제들에서 모두 지원하고 보통 우리가 사용하는 디지털 카메라의 플래시 카드와 USB 드라이브에서 볼 수 있다. FAT 파일시스템은 가장 간단한 구조이지만 간단한 구.. 더보기