1. 사이버 포렌식

1. FLASH 메모리

종류	NAND	NOR
구조	셀이 직렬로 연결	셀이 병렬로 연결
특징	제조단가가 싸고 대용량	데이터 처리속도가 빠르고 안정성이 우수
이용	USB	핸드폰

1.1 FLASH 메모리의 특징

One-way Programming - 블록에 데이터를 쓰면 일부를 삭제 수정할 수 없음, invalid를 통해 데이터를 삭제하는 것처럼 처리

Wearing erase-write cycle - 소모성으로 1만회 또는 10만회 쓰기가 가능

Spare Area - 데이터 영역 이외에도 metadata정보를 저장하고 있는 16byte의 영역이 존재. 직접 접근 불가

Garbage Collection - Invalid Block이 모였을 때 그 블록들을 리셋

2. SSD

NAND를 여러개로 모아 하드처럼 사용

하드와 동일한 연결 인터페이스 사용

고속 데이터 입출력

저전력

소음과 발열이 낮음

외부의 충격으로 데이터 손상 가능성이 적다

3. HDD

플레터 : 데이터가 직접 기록되는 장치

액추에이터 : 헤드를 움직임

헤드 : 플레터에 기록된 데이터를 읽거나, 기록하는 장치, 플레터 하나 당 헤드 두개가 존재한다.

실린더 - 트랙의 모임

트랙 - 섹터의 모임

섹터 - 디스크상의 읽거나 쓰는 최소 단위 ( 512 Byte )

클러스터 - OS의 개념으로 섹터를 모아 만든공간, 파일의 DISK에 할당되는 최소단위이다. ( 4096byte )

헤드 - 몇번헤드를 가리키는가

논리적 주소 지정 : CHS Address

C(Cylinder), H(Head), S(Sector)

세가지의 값을 따로 주어 플레터의 값을 읽거나 씀

논리적 주소 지정 : LBA Address

하드의 모든 섹터를 논리적으로 1차원의 섹터로 나열

4. 파일시스템

자료를 쉽게 보관, 접근할 수 있도록 조직하는 체계

★

FAT, NTFS - WINDOW OS

HFS - MAC OS

EXT - LINUX

플래시 메모리의 파일 시스템

YAFFS, JFFS

★4.1 파일 시스템의 구성

- Boot Sector

- Index, MetaData

- Data

- Cluster Chain

파일의 크기가 커서 연속되거나 분산된 여러 클러스터를 저장하고 이를 연결한 구조 및 형태

- Fragmentatin

하나의 파일이 연속된 클러스터에 저장되어 있지 않고 분산되어 저장되어 있는 형태

4.2 파티션

연속된 저장 공간을 하나 이상의 연속되고 독립된 영역으로 나누어 사용할 수 있도록 정의한 규약

Apple Partition

Boot code 대신 시스템의 Firmware에 존재

63개의 파티션 가능

GPT

128개의 파티션 가능