본문 바로가기

FAT 파일시스템 포렌식

File System - FAT (8) 이번 글 부터는 FAT 파일시스템의 각 데이터 구조체들을 자세히 살펴 보도록 하겠다. 현재 글에서는 부트 섹터와 FAT 32 파일시스템에만 존재하는 FSINFO 구조체를 알아 볼 것이다. 일단 부트 섹터는 파일시스템 첫 섹터에 존재하며 FAT 파일시스템의 종류에 따라 조금씩 다르다. 하지만 첫 36byte는 동일하다. 일단 부트 섹터의 36byte부터 살펴보자. [그림 1 - 부트섹터 처음 36byte] 위 이미지만 봐서는 정확히 설명이 안되는 부분이 있기 때문에 아래에 설명이 필요한 부분을 따로 설명 해 두었다. - 부트 코드 점프 명령어 : 해당 부분은 부팅 파일시스템이 아니면 설정되지 않아도 되는 부분이다. - 섹터당 바이트 수 : 이 부분은 주로 512, 1024, 2048, 4096 바이트로 할.. 더보기
File System - FAT (7) 이번 글에서는 파일 복구와 FAT 파일시스템의 종류를 결정하는 방법, 일관성 검사에 대해서 알아보도록 하겠다. [파일 복구] 파일 삭제 과정을 보면 FAT 엔트리가 0이 되고 디렉토리 엔트리가 비 할당 상태로 바뀌면서 디렉토리 엔트리의 첫 바이트가 "0xE5" 로 설정된다. 파일을 복구하기 위해서는 파일의 시작 위치(시작 클러스터)와 크기를 알아야 한다. 하지만 시작 클러스터만 알 수 있을 뿐 나머지 연계되는 클러스터는 정확하게 알지 못한다. 파일시스템의 파일의 클러스터들 배치는 아래와 같은 경우들이 있다. - 연속적인 클러스터 할당의 경우 [그림 1 - 연속 할당 클러스터] 위 경우 파일 복구는 정말 쉽다. 시작 클러스터인 45를 시작으로 파일의 크기만큼인 48까지만 복구해주면 된다. - 할당 클러스터.. 더보기
File System - FAT (4) 이번 글에서는 FAT 파일시스템의 메타데이터 참조 모델에 대해 알아 볼 것이다. 메타데이터 참조 모델은 다른 데이터를 설명하는 데이터가 포함되어 있는 참조 모델로 디렉토리 내용의 저장위치, 날짜, 시간, 허가권 등의 데이터가 포함된다. 메타데이터 참조 모델을 분석함으로써 특정 파일의 추가 정보와 의심스러운 파일을 식별하기 위한 정보를 얻기도 한다. FAT 파일시스템에서는 메타데이터 참조 모델의 데이터를 디렉토리 엔트리 구조체에 저장하며, FAT 구조체를 파일이나 디렉토리 에이아웃에 대한 메타데이터 데이터를 저장하기 위해 사용한다. 이제부터 메타데이터 참조 모델의 각 개념들을 살펴보고 분석방법을 이야기 해 보자. [디렉토리 엔트리] 디렉토리 엔트리란, 파일과 디렉토리마다 할당되는 데이터 구조체를 말한다. .. 더보기