[디지털포렌식] FAT32 파일시스템 2화
FAT32 파일시스템은 크게 예약 영역과 FAT 영역, DATA 영역 3가지로 나눌 수 있습니다.
다시 예약 영역은 부트레코드 부분, 예약된 영역으로 구분할 수 있습니다.
1. 부트레코드(Boot Record = BR)
- 볼륨의 첫 번째 섹터를 의미
- 이 영역의 크기는 하나의 섹터를 차지하고 있습니다.
2. 예약된 영역(Reserved Area)
- 미래를 위해 예약된 영역으로 32섹터가 할당되어 있습니다.
3. FAT1(First File Allocation Table)
- FAT 영역은 클러스터들을 관리하는 테이블이 모여 있는 공간
- 이 영역의 내용을 통해서 어떤 클러스터가 비어 있는지, 어떤 파일에 어떤 클러스터가 연결되어
있는지 확인가능
★클러스터: 섹터들의 집합으로 하드디스크에 파일을 저장하는 최소 논리적 단위
4. FAT2(Second File Allocation Table)
- 중요한 FAT1에 대한 백업본
5. 데이터 영역
- 실제 파일과 디렉터리가 저장되는 공간
6. 사용하지 않는 영역(Unused Area)
FAT32 부트레코드 구조
* 물리적인 최소단위 : 섹터 (512Byte) - 섹터는 하드디스크 최소 저장 단위 * CHS 방식(옛날방식) : Cylinder Head Sector 를 이용하여 하드디스크에 접근하는 방식 - 각 섹터의 주소를 지정하는 방식 중 하나임 - 현재는 용량 제한 문제 (최대 8GB) 와 비효율성 (플래터의 외부와 내부의 섹터 사이즈가 다름) 떄문에 사용하지 않음 (EX: 0번 트랙의 1번 섹터, 1번 트랙의 1번 섹터 등 특정 섹터들을 트랙과 섹터에 기반을 두어 지정하는 방식) * LBA 방식(현재방식) : Logical Block Area - 섹터들을 일렬로 늘어놓은 것과 같은 논리적인 개념으로 섹터에 주소를 지정 하는 방식 - 하드디스크를 각 각 512Byte의 블록의 나눈 후 각 블록에 순차적으로 고유 번호를 할당하는 방식 [ 파티션과 볼륨의 차이점 ] - 파티션: 연속적 이어야 합니다. - 볼륨: 연속적이지 않아야 합니다. * 포렌식을 한마디로 정의: '체인 오브 커스터디' 원칙을 잘지켜야 합니다. |
