본문 바로가기

파일시스템 포렌식

File System - Partition (3) 이번 글에서는 BSD(FreeBSD, OpenBSD, NetBSD) 파티션에 대해서 알아 볼 것이다. 컴퓨터 포렌식 조사 대상에는 BSD 시스템들이 많이 속한다.(물론 리눅스 또한) BSD 시스템들은 IA32 기반 하드웨어(x86/i386)을 사용하며 자체 분할 시스템을 사용한다. IA32 기반 하드웨어를 사용하기 때문에 MS 제품들과 같은 디스크에 공존 할 수 있도록 설계되어 있다. BSD 파티션 시스템은 도스 파티션보다 간단하기 때문에 이해하는데 큰 어려움은 없으며 애플 파티션 맵 보다는 약간의 한계를 가지고 있다. BSD 파티션은 도스 파티션과 공존 할 수 있기 때문에 도스파티션에서 생성한 볼륨에 위치 할 수 있다. 즉, BSD 파티션은 "주 도스 파티션"이 될 수 있는 것이다. 아래는 도스파티션 .. 더보기
File System - Partition (2) 이전 글에서 MBR과 확장 파티션 개념을 알아보았는데 이번 글에서는 MBR 내부 구조와 애플 파티션을 알아 볼 것이다. MBR은 512byte 크기의 구조체를 사용하며, 첫 446byte는 어셈블리 부트 코드를 위해 예약이 되어 있다. MBR은 아래와 같은 내용들을 포함하고 있다. [그림 1 - MBR 레이아웃] MBR은 이전글에서 언급했듯이 기본적으로 4개의 파티션을 파티션 테이블 엔트리(16byte)로 표현할 수 있어 파티션 테이블 엔트리가 4개이다. 각 파티션의 레이아웃을 구성하는 파티션 테이블 엔트리의 구조는 아래와 같다. [그림 2 - 파티션 테이블 엔트리 구조] 부팅 플래그는 반드시 필요한 것은 아니다. 하나의 운영체제가 설치되어 있는 시스템(부팅 플래그 default : 0x80)이라면 부팅.. 더보기
File System - Partition (1) 컴퓨터를 사용하면서 자주 접하는 파티션 시스템은 도스 형식의 파티션 시스템이다. 도스 파티션은 인텔 IA32 하드웨어(i386/x86) 에서 사용해 왔지만 공식적인 명세서는 없다. Microsoft 는 이런 파티션 시스템을 MBR(Master Boot Record) 디스크라고 부른다. 도스 파티션은 도스, 윈도우, 리눅스 IA32 기반 FreeBSD와 OpenBSD 시스템에서 사용된다. 흔한 시스템이지만 의외로 복잡한 구성을 가지고 있다. 그 이유는 확장 파티션 개념인데 조금 뒤에 알아 볼 개념이다. 도스 파티션을 사용하는 Disk는 512Byte 섹터 내의 MBR을 갖고 있다. MBR은 아래와 같은 정보를 가지고 있다. 1. 부트코드 : 파티션 테이블 처리 명령어와 운영체제 위치 파악 명령어 포함 2... 더보기
File System - Volume (2) 볼륨 분석에 대해서 알아 볼 차례이다. 볼륨 분석은 조사관이 수행한다기 보다 도구에 의해서 일반적으로 진행된다. 분석 기술은 의외로 간단하다. 분석 도구의 로직을 살펴보면 분석 도구는 인식한 파티션 시스템(이미지)에서 파티션 테이블의 위치를 파악한 후 테이블을 식별하여 테이블의 내용을 확인한다. 테이블에는 파티션의 시작, 마지막 섹터값, 파티션 유형등의 정보가 들어 있으며 이 정보를 토대로 파티션 시스템(이미지)에서 각 볼륨들을 파악한다. 일관성 검사라는 것이 있는데 이 것은 파티션을 제외한 다른 영역에서 증거가 있는지 판단할 수 있는 상태 점검을 제공한다. 조사관은 파티션 테이블을 확인하여 파티션의 시작과 마지막 섹터를 확인하고 각 파티션들을 목록화 하여 파티션 사이에 할당되지 않은 섹터가 있는지 확인.. 더보기
File System - Volume (1) 이제부터 파일시스템과 구조적인 데이터를 저장하는 볼륨에 대해서 알아 볼 것이다. 대부분 파티션과 볼륨을 혼용하는데 이는 잘못된 혼용이며 둘의 의미는 서로 다르다. [볼륨] 볼륨이란 운영체제나 응용 프로그램이 데이터를 저장해 사용하도록 주소가 지정된 섹터들의 집합이다.(섹터들이 연속적이지 않음) 볼륨은 두가지 개념을 아래와 같이 가진다. - 여러 개의 저장 볼륨에서 한개의 저장 볼륨으로 조합하는 것 - 저장 볼륨들을 독립적인 파티션들로 분할하는 것 볼륨으 더 작은 볼륨들로 나뉘거나 합쳐질 수 있다. [파티션] 파티션은 볼륨 개념 중 하나로 볼 수 있으며, 볼륨에 연속적인 섹터들의 집합으로 설명 할 수 있다.(섹터들이 연속적임) 일반적인 파티션 시스템은 한 개 이상의 테이블을 가지고 있으며, 각 테이블 엔트.. 더보기