본문 바로가기

Computer/0x05 디지털 포렌식

디지털포렌식 NTFS 파일시스템 디지털포렌식 NTFS 파일시스템 NTFS란? NTFS는 윈도 NT 계열 운영체제의 파일 시스템으로 윈도 2000, 윈도 XP, 윈도 서버 2003, 윈도 서버 2008, 윈도 비스타, 윈도 7, 윈도 서버 2008 R2 등에도 포함되어 있다. NTFS의 NT는 윈도 NT와 비슷하게 새로운 기술이라는 뜻의 New Technology의 준말이다. MS-DOS와 이전 버전의 윈도에서 쓰였던 마이크로소프트의 이전 FAT 파일 시스템을 대체하였다. NTFS는 FAT와 HPFS(고성능 파일 시스템)을 거쳐 몇 가지 개선이 있다. 이를테면, 메타데이터의 지원, 고급 데이터 구조의 사용으로 인한 성능 개선, 신뢰성, 추가 확장 기능을 더한 디스크 공간 활용을 들 수 있다. (출처: 위키백과) NTFS 살펴보기 (63번.. 더보기
디지털 증거 수집 절차 디지털 증거 수집 절차 (1) 현장 사진 촬영 및 스케치 수행 : 컴퓨터 등 대상물의 앞, 뒷면 사진, 주변 장치를 포함한 사진, 전원이 켜져 있는 경우 모니터 화면 촬영- 현장에 있는 수집 대상물의 위치를 상세히 스케치 (2) 네트워크 정보 등 휘발성 증거를 수집한 후 네트워크와 분리 (3) 수집 대상물 전원 확인 - 컴퓨터 등 수집 대상물의 전원이 꺼져 있는 경우 그대로 수집 - 전원이 커져 있는 경우 정상적인 시스템 종료 절차를 수행하면 임시 데이터가 삭제되므로이를 방지하기 위해 컴퓨터의 경우 종료 절차 없이 전원 플러그 강제 분리- 서비스 중인 서버의 경우 정상종료 (4) 컴퓨터 본체 및 주변기기 확보를 원칙으로 부득이한 경우 하드 디스크만 분리 수집 - BIOS 메인 메뉴에서 시스템 시간과 날짜.. 더보기
[디지털포렌식] FAT32 파일시스템 2화 [디지털포렌식] FAT32 파일시스템 2화 FAT32 파일시스템은 크게 예약 영역과 FAT 영역, DATA 영역 3가지로 나눌 수 있습니다. 다시 예약 영역은 부트레코드 부분, 예약된 영역으로 구분할 수 있습니다. 1. 부트레코드(Boot Record = BR)- 볼륨의 첫 번째 섹터를 의미- 이 영역의 크기는 하나의 섹터를 차지하고 있습니다. 2. 예약된 영역(Reserved Area)- 미래를 위해 예약된 영역으로 32섹터가 할당되어 있습니다. 3. FAT1(First File Allocation Table)- FAT 영역은 클러스터들을 관리하는 테이블이 모여 있는 공간- 이 영역의 내용을 통해서 어떤 클러스터가 비어 있는지, 어떤 파일에 어떤 클러스터가 연결되어 있는지 확인가능 ★클러스터: 섹터들의.. 더보기
[디지털포렌식] FAT32 파일시스템 1화 [디지털포렌식] FAT32 파일시스템 디지털포레식(사이버포렌식) 이란? - 컴퓨터의 관련 수사를 지원하며 디지털 자료가 증거로서 증명력을 갖도록 하는 과학적이고 논리적절차와 방법을 연구하는 활동으로 침해대응보다 광의의 의미를 말합니다. 연계보관성의 원칙(Chin of Custody) - 증거물 획득 => 이송 => 분석 => 보관 => 법정 제출의 각 단계에서 담당자 및 책임자를 명확히 해야 합니다. FAT32 (File Allocation Table 32): FAT16을 확장하여 테이블 길이를 32비트로 한 FAT. 디스크 이용 효율면에서는, 1GB를 초과하는디스크 클러스터 크기는 FAT16에서는 32KB 이지만 FAT32에서는 4KB면 충분 합니다.또한 디스크를 1드라이브로 해서 취급할 떄의 크기도 .. 더보기