디지털포렌식 NTFS 파일시스템
NTFS란?
NTFS는 윈도 NT 계열 운영체제의 파일 시스템으로 윈도 2000, 윈도 XP, 윈도 서버 2003, 윈도 서버 2008, 윈도 비스타, 윈도 7, 윈도 서버 2008 R2 등에도 포함되어 있다. NTFS의 NT는 윈도 NT와 비슷하게 새로운 기술이라는 뜻의 New Technology의 준말이다. MS-DOS와 이전 버전의 윈도에서 쓰였던 마이크로소프트의 이전 FAT 파일 시스템을 대체하였다. NTFS는 FAT와 HPFS(고성능 파일 시스템)을 거쳐 몇 가지 개선이 있다. 이를테면, 메타데이터의 지원, 고급 데이터 구조의 사용으로 인한 성능 개선, 신뢰성, 추가 확장 기능을 더한 디스크 공간 활용을 들 수 있다. (출처: 위키백과)
NTFS 살펴보기
(63번 BR부분)
부가적인 내용
포렌식 현장도착후 할일: 메모리 덤프, 사진촬영
- Login Bomb 때문에 정상종료를 하면 안된다.
: 전원플러그 강제로 뽑아야 한다. (아직까지는..)
- 포렌식 툴은 2개이상 띄워서 비교해야 한다.
- 하디디스크는 '쓰기방지툴'을 꼭 사용해야 한다. (EX: 플로피디스크 열기/닫기 )
: '권장' 이 아니라 '필수' 이다.
- slack space(슬랙스페이스) : 파일의 크기가 데이터 단위 크기의 배수가 되지 않을 때,
저장 매체에서 파일이 저장되고 남은 잉여 공간을 말합니다.
램슬랙: 파일 끝을 표시하기 위해 섹터 마지막까지 0으로 채우는 공간
일반슬랙: 저장 되었던 파일의 내용 정보와 시간정보를 제공하는 공간
slack space는 File Table 에서 인식을 못하므로 일반적인 Browsing 으로는 해당
파일을 열람 할수 없음 디스크에서 Slack Space 크기와 위치를 검사하고 디스크의
물리적 주소를 파악, 해당 클러스터의 정보를 조사해야함
Slack space 종류: 램슬랙, 파일슬랙, 파일시스템 슬랙
슬랙 스페이스로 인해 데이터나 파일 시스템의 끝부분을 알 수 있기 때문에 삭제된
파일을 복구 할때 유용하게 사용됨
