본문 바로가기

포렌식

File System (5) 이번 글 에서는 파일시스템 파일 이름 참조 모델과 응용 프로그램 참조 모델에 대해서 알아 볼 것이다. 일단 파일 이름 참조 모델부터 알아보자. [파일 이름 참조 모델] 해당 참조 모델은 파일명을 포함하며, 사용자 입장에서 메타 데이터 참조 모델을 통한 파일 접근이 아닌 파일 명으로 접근 하게 끔 도와준다. 이 참조 모델이 포함하는 데이터는 파일명과 해당 파일의 메타 데이터 엔트리 주소이다. 아래는 파일 이름 참조 모델의 개념이다. [파일 이름 기반 파일 복구] 해당 기술은 파일 이름 참조 모델이 가지고 있는 메타 데이터 엔트리 주소를 이용하여 파일을 복구 하는 기술이다. 메타데이터 엔트리는 파일에 할당 된 클러스터 주소를 가지고 있기 때문에 이러한 복구가 가능하다. [그림 1 - 파일 이름 참조 모델과 .. 더보기
File System (4) 이번 글에서는 파일시스템의 메타 데이터 참조 모델에 대해서 알아 볼 것이다. 메타 데이터 참조 모델은 다른 데이터를 설명하는 데이터를 포함하고 있다. 해당 참조 모델의 데이터 중 예를 들자면 마지막 접근 시간 데이터와 클러스터 주소가 있다. 많은 메타 데이터 구조체는 고정 또는 동적 테이블에 저장 되고 각 엔트리는 주소를 갖는다. 파일이 지워지면 해당 메타 데이터 엔트리는 할당 상태에서 비 할당 상태로 전환되고 운영체제는 일부 엔트리 값을 영구적으로 삭제 한다. 특정 파일의 세부 사항을 확인 하려고 한다거나, 특정 요구 사항에 적합한 파일을 찾기 위해서는 해당 참조 모델을 분석해야 한다. 분석을 위한 메타 데이터의 개념들을 지금부터 알아 보도록 하겠다. [논리적 파일 주소] 파일에 할당 된 클러스터는 논.. 더보기
File System (3) 이번 글에서는 파일시스템 참조 모델 중 하나인 내용 참조 모델에 대해서 알아 볼 것이다. 내용 참조 모델은 데이터를 저장 할 수 있는 파일과 디렉토리를 할당하는 저장 공간이 있다. 보통 해당 참조 모델의 데이터 할당 공간은 같은 크기의 그룹들로 구성되며, 각 파일시스템들은 이러한 그룹들을 클러스터 또는 블록이라고 지칭한다. 해당 참조 모델의 분석은 지워진 데이터를 복구하고, 로우 레벨(low level)의 검색을 수행하는 것으로 이루어진다. 이제부터 분석을 위한 클러스터 처리 방법을 하나씩 알아보도록 하겠다. [논리적 파일시스템 주소] 파일시스템들은 논리적 볼륨 주소를 사용한다. 또 클러스터를 구성하기 위해 연속적인 섹터들을 그룹화 해야 하기 때문에 논리적 파일시스템 주소를 할당한다. 대부분의 파일시스템.. 더보기
File System (2) 이번 글에서는 파일시스템 참조 모델 중 하나인 파일시스템 참조 모델에 대하여 알아보도록 하겠다. 파일시스템 참조 모델은 해당 파일시스템이 고유한지, 다른 중요한 데이터(다른 참조 모델 데이터)들이 어디에 위치하였는지 구분하는 전반적인 데이터를 포함하고 있다. 대부분 다른 참조모델 데이터의 위치를 구분하는 데이터들은 첫 번째 섹터 표준 데이터 구조체에 저장된다. 이 참조 모델의 데이터가 손상된다면 다른 참조 모델의 데이터 구조체 위치를 파악하기 어렵게 된다. 해당 참조 모델을 분석 할 때에는 기본적으로 전반적인 레이아웃 정보들과 파일시스템 버전, 파일시스템 생성 시간과 응용 프로그램, 파일시스템 레이블을 중심으로 분석한다. 해당 참조 모델의 데이터들은 다른 참조 모델 데이터들에 비해 보통 독립적이어서 수사.. 더보기
File System (1) 파일시스템은 사용자에게 파일과 디렉토리에 데이터를 저장 할 수 있도록 장치를 제공한다. 대부분의 경우 파일시스템은 특정 컴퓨터로부터 독립적이며 데이터를 찾기 위한 정보를 제공하는 구조적 데이터와 사용자 데이터로 구성 된다. 파일시스템은 여러 참조 모델들이 있다. 참조 모델은 찾고자 하는 데이터의 위치를 쉽게 결정 할 수 있도록 하는 지표가 되기도 하고 서로 다른 파일시스템의 차이점을 쉽게 비교 할 수 있도록 해주기도 한다. 이런 참조 모델에는 다음과 같은 것들이 있다. - 파일시스템 : 전체 파일시스템 정보를 포함 - 내용 : 파일의 실제 내용을 구성하는 데이터를 포함 - 메타데이터 : 파일을 설명하는 데이터를 포함(대표적으로 FAT 디렉토리 엔트리, NTFS MFT, UFS(Ext3)의 inode 구조.. 더보기