'윈도우파일시스템'에 해당되는 글 1건

  1. 2009.04.15 포렌식 - 윈도우 파일시스템

..지난번 말씀 드린 바 와 같이 파일시스템 및 윈도우 포렌식에 대해서 이어가도록 하겠습니다.

 

파일시스템에 대해 알아보고, 하드디스크, 부트 로더, FAT 파일시스템 정도까지 이어 가 보겠습니다.

 

파일시스템이란 자료의 기록이 가능한 저장매체의 근간을 이루는 것으로, 매체 내에 데이터가 저장 및 관리되는데 있어 프로세스 권한에 따라 데이터를 노출, 은닉, 압축, 암호화하며 구조적

손실 시 이를 다시 원래 상태로 회복 시키는 등의 역할을 수행, 수반 보조가 필요한 총체적인

데이터 운용 기술이 적용된 시스템이다.”

 

다시 정리하자면 파일시스템은 저장장치 내에서 데이터를 읽고 쓰기 위해 미리 지정된 약속이다.

 

그럼 파일시스템에 대한 분류를 알아보자

일반적인 파일시스템으로 FAT, HPFS, NTFS, UFS, Ext2,3 등이 있으며, 플래시 파일시스템, CD-ROM 파일시스템, 네트워크 파일시스템, 가상 파일 시스템등이 있다.

 

하드디스크에 구조에 대해서 언급하고 넘어 가기로 한다. 자세한 구조는 다음 링크 참조하자.

 

<자세한 구조 보기>

 

하드 디스크는 간략히 실린더, 트랙(=헤드,head) , 섹터로 이뤄져 있으며 1클러스터 = 4섹터이다.

 

논리적 섹터와 물리적 섹터의 장단점은 다음과 같다.

분류

물리적섹터

논리적섹터

장점

모든 섹터 다룸

사용 편리               

단점

사용이 어려움

분할된 섹터만 다룸

 

부트로더(부트스트랩 로더)ROM에 저장되며, 커널을 메모리에 올려주는 역할을 하는 프로그램으로, MBR에 존재하며 커널 로더라고도 불린다.

운영체제를 메모리에 올려놓는 역할을 하는 기계어 코드들의 집합을 IPL이라고 하고,

각 하드 디스크의 첫번째 섹터인 MBR에 존재한다.



부트로더 분석시 필요내용은 다음과 같다.

실제 부트 섹터는 메모리 0000:7C00 (메모리에 MBR값 올리는 위치) 에서 수행된다.

모든System에서 동일하게 0000:0413에는 주기억 메모리가 저장되어 있다.

0000:004c에는 INT 13h의 세그먼트와 오프셋이 저장되어 있다.


 

다음으로 파티션에 대해 알아보자.

파티션은 컴퓨터에서 디스크나 메모리 등의 저장매체를 나누는 것이다.

종류로는 Dos 파티션, Apple 파티션, BSD파티션, 솔라리스 디스크 레이블 등이 있다.

 

 

Dos 파티션 테이블




FAT파일시스템에 대해서도 들여 보자..

관련 내용 및 표의 출처: IT EXPERT, 임베디드 개발자를 위한 파일시템의 원리와 실습 에서이다.



                                                       FAT 파일시스템 비교



클러스터 크기가 크거나 작음에 따라서 장단점이 있다. 우선 클러스터의 크기가 작은 경우의 장점은 클러스터 할당 때문에 버려지는 용량이 적다는 것이고, 단점은FAT 영역의 크기가 커진다는 것이다.

 

반면에 클러스터의 크기가 큰 경우의 장점은 FAT 영역의 크기가 작다는 점과 클러스터의 크기가 작은 경우에 비해 파일당 할당하는 클러스터 수가 적기 때문에 그에 따른 작업의 오버헤드(overhead)가 적다는 점이다. 단점은 크기가 작은 파일이 많은 경우 버려지는 용량이 많아진다는 점이다. 이렇게 버려지는 부분을 슬랙(slack)이라고 한다.



                                                클러스터 크기에 따른 장단점


이것으로 허접하게 윈도우 파일시스템을 정리해봅니다..

 

다음에는 윈도우 포렌식으로 넘어가보겠습니다.


 

Posted by ^________________^
,