파일 시스템 분석의 의의
슬랙 공간 분석
-
RAM Slack
- 파일이 섹터 단위로 나누어 떨어지지 않아서 생기는 슬랙
-
Drive Slack
- 파일이 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙
-
File System Slack
- 저장매체의 물리적 크기가 클러스터 단위로 나누어 떨어지지 않아서 생기는 슬랙
-
Volume Slack
- 전체 볼륨 크기와 할당 된 파티션 크기의 차이로 발생하는 낭비 공간
시간 정보 분석
- $FILE_NAME
- $STANDARD_INFORMATION
시그니처 분석
-
파일 시그니처와 확장자가 일치하는지 검사
확장자 변경을 통해 의도적인 파일 은폐 가능성
-
$FileNAME
로그 정보 분석
-
사건 발생 시점의 파일 시스템 변경 사항들을 모아둔 로그를 활용하여 행위를 파악
-
$LogFile
비 할당 클러스터 분석
부트코드 분석
미사용영역 분석
파일 시스템의 구조
외장하드를 까서 확인을 해봤더니, 파티션이 둘로 나눠져있다.
MBR이란 하드디스크의 첫번째 섹터에 위치해있다.
부트코드, 파티션테이블의 정보, MBR 시그니처가 있다.
MBR 구조
파티션테이블 구조
파티션의 총 용량 공식
Size in Sector * 512byte
사진은 부팅 파티션이고
파티션 타입이 0x07인걸로 보아 NTFS파일 시스템이 적용
파티션 시작 번지가 0x800이므로 2048섹터부터 파티션이 시작한다.
또한 섹터의 개수가 0x3A3CA800 인것을 알 수 있다.
파티션의 총 용량 공식을 사용하면 500GB가 나온다.
'STUDY > Forensic' 카테고리의 다른 글
| NTFS File Recovery (0) | 2020.08.04 |
|---|---|
| NTFS File System - VBR (0) | 2020.07.20 |
| 파티션 복구 실습 (1) | 2020.07.13 |
| 파일 포맷 내부 구조 (0) | 2020.06.04 |
| 파일시스템 기초 (0) | 2020.03.07 |