1. FAT(File Allocation Table)
USB, FLASH MEMORY에서 사용된다.
FAT#1은 CLUSTER CHAIN을 저장한다.
- FAT 16
주소를 표현할 때 2의 16승으로 한정된다.
- FAT 32
주소를 표현할 때 2의 32승으로 한정된다.
- 16, 32의 차이
16은 BOOT DIRECTORY의 위치가 고정되어있고
32는 BOOT DIRECTORY의 위치가 DATA 영역의 랜덤하게 들어간다.
2. NTFS
- 특징
데이터 복구 기능 - 모든 작업을 트랜잭션 단위로 기록하고 시스템 장애로 인한 문제 발생시 복구
암호화 - EFS(Encryption File System)
압축 - ZIP 형식의 LZ77 변형 압축 기술 사용
디스크 쿼터 - 디스크 사용량 제한
ADS(Alternate Data Stream) - 다중 스트림으로서 하나의 파일이 여러 이름의 데이터를 가질 수 있음, Alternate Stream 영역의 파일 안에 다른 데이터를 작성할 수 있다.
Sparse 파일 - 파일의 내용이 0으로 채워진 경우 해당 영역을 메타데이터에 크기만을 표시만 하고 실제 데이터 영역을 할당하지 않음
대용량 지원 - 이론적으로 주소가 2의 64까지 표현이 가능하다,
- NTFS의 기본 구조
Boot Record : 해당 볼륨의 여러가지 설정 값, 부팅을 위한 실행코드를 포함한다.
Master File Table(MFT) : 존재하는 모든 파일과 폴더에 대한 정보를 저장하고 있는 곳
Data 영역 : MFT을 포함하고 파일 또는 폴더 등의 데이터가 저장되며 Cluster 단위로 접근한다. MFT의 위치는 무조건 Boot Record 뒤가 아니다.
- Boot Sector
Byte Per Sector
Sector per Cluster
Total Sector
Start Of MFT/MFTMirr
MFT Entry Size
- Boot Code
- Signature(0XAA55) - Little Endian으로 저장된다.
MFT(Master File Table)
메타 데이터 파일과 일반파일 또는 디렉터리에 대한 정보를 저장하고 있다.
$LogFile - 트랜잭션 기록 파일
$BadClus - BadCluster 정보를 모아 저장
$Objid - 파일의 PID 정보 저장
'수 > 사이버 포렌식' 카테고리의 다른 글
4. 사이버포렌식 (0) | 2017.11.21 |
---|---|
3. 사이버포렌식 (0) | 2017.11.14 |
1. 사이버 포렌식 (0) | 2017.10.28 |
6. 사이버 포렌식 (0) | 2017.10.04 |
5. 사이버포렌식 (0) | 2017.09.25 |