본문 바로가기

Forensics/Disk Forensics

 (6)
GPT(GUID Partition Table) 인텔에서 BIOS의 대체 수단으로 EFI(Extensible Firmware Interface)를 표준으로 채택하였고 최근 많이 사용되는 EFI 시스템에서 사용되는 파티션 테이블 형식이 GPT 파티션이다. MBR과 같이 파티션 정보를 가지고 있지만 MBR 파티션 테이블의 용량 제약(2TB)을 극복하였다. GPT 파티션은 파티션 타입에 0xEE를 사용한다. 전체적인 구조는 아래 그림과 같다. 크게 Protective MBR, Primary GPT, Secondary GPT 세 부분으로 나누어져 있다.Secondary GPT는 Primary GPT의 동일한 백업으로 파티션의 제일 끝부분에 처리된다. Protective MBR은 0번 섹터에 있으며 GPT 파티션 시작 위치가 저장되어 있다. 파티션의 최대 크기..
$UsnJrnl NTFS 파일시스템에서 발생하는 모든 파일 및 디렉터리의 변경사항을 기록해 놓은 로그이며 $UsnJrnl 파일명 안에 2개의 스트림($J, $Max)으로 나누어 저장되어 있다. $J는 변경 로그를 저장하고 있으며 $Max는 변경 로그의 기본 메타데이터로 32byte이다. Windows 7부터 활성화가 되어 있으나 비활성화되어 있을 경우 fsutil 명령어로 활성화시킬 수도 있으며 이 명령어로 $UsnJrnl 크기를 변경할 수 있다.fsutil usn createjournal m=1000 a=100 i:fsutil usn [createjournal] m= a=  $UsnJrnl 파일은 처음에는 비어있는 파일로 생성되며 볼륨에 변경사항이 생길 때마다 레코드에 변경을 기록한다. $UsnJrnl 파일은 보통 3..
NTFS NTFS(New Technology File System)는 마이크로소프트에서 FAT의 한계를 개선하기 위한 새로운 시스템으로서 개발되었으며, Windows 2000, 2003, 2008, XP, 95, 98 등 Windows에서 표준 파일시스템으로 사용되고 있으며 유닉스에서도 지원하고 있다. NTFS는 모든 데이터를 데이터 영역에 파일 형태로 관리하고 있다. 1. NTFS 대표적 특징USN Journal(Update Sequence Number Journal)USN 저널은 NTFS의 메타데이터를 구성하는 파일로 NTFS 볼륨에 변경이 생길 때마다 저널 파일에 변경을 기록한다. 64비트에 USN, 파일 이름, 변경 등에 관한 정보가 기록된다. ADS(Alternate Data Stream)FAT에서 파일..
FAT FAT(File Allocation Table) 파일시스템은 1977년 개발된 마이크로소프트사의 MS-DOS 및 Windows 9x 운영체제의 주 파일시스템으로 가장 간단한 파일시스템이다. 또한 모든 NT 같은 Windows 운영체제 및 유닉스에서도 지원한다. FAT은 디지털카메라와 USB 드라이버에서도 볼 수 있다. FAT 파일시스템 안에는 FAT 영역 즉 파일 할당 테이블이 존재하여 파일시스템을 말하는지 테이블을 말하는지 문맥을 살펴볼 필요가 있다.  FAT는 FAT12, FAT16, FAT32, FAT64 등이 있으며 FAT 뒤에 붙어 있는 숫자는 FAT 엔트리(클러스터의 위치와 순서)의 비트 수이다.FAT12: MS-DOS 초기와 플로피 디스크에 사용된다.FAT16: 16비트 파일시스템으로서 최대..
파티션과 MBR 디스크(Disk)시스템에 부착된 물리적인 저장장치를 말하며 일반적으로 하드디스크(HDD)를 의미했지만 근래에는 플래시 메모리, SSD 등도 디스크로 불린다. 파티션(Partition)물리적인 저장장치인 디스크를 복수 개의 독립적이고 논리적인 별도의 저장장치처럼 분할하는 역할을 한다. 즉 물리적인 디스크 저장장치를 여러 독립적인 공간으로 구분한 영역을 파티션이라 하며 데이터 저장 및 관리 등의 편의를 위하여 사용자에 의해 생성된다. 하나의 디스크에 여러 개의 OS를 설치하거나 OS와 Data 영역을 별도로 나누어 관리하고자 할 때 유용하다. 볼륨(Volume)볼륨은 단일 파일시스템을 사용하여 접근할 수 있는 저장공간을 의미한다. 일반적으로 디스크를 파티션으로 구분하고, 각 파티션을 파일시스템으로 포맷하여 ..
파일시스템 관련 기본개념 1. 파일시스템이란컴퓨터 시스템은 데이터를 장기간 안정적으로 저장하고 효율적으로 검색하는 방법이 필요하다. 컴퓨터 내 수십, 수백만 개의 데이터가 존재하는 파일 및 폴더 등을 저장매체의 비어있는 공간에 효율적으로 읽기, 쓰기하며 관리하는 체계가 파일시스템이다. 파일시스템은 아래 표와 같이 많은 종류가 존재한다.운영체제파일시스템WindowsFAT(File Allocation Table, FAT12, FAT16, FAT32), NTFS(New Technology File System), exFAT(Extended File Allocation Table, FAT64)Mac OSAPFS(Apple File System), HFS+(Mac OS Extended), exFATLinuxEXT(Extended File..

티스토리툴바