forensic-focus

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

VBR (Volume Boot Record) 구조VBR은 Boot Sector와 NTLDR Information Boot Strap 두가지 영역으로 나뉜다. 1. Boot Sector : 운영체제가 컴퓨터를 부팅할 때 필요한 정보를 담고 있고, BIOS ParameterCPU JumpCommandBPB(BIOS Parameter Block)Boot Strap CodeSignature BIOS Parameter Block (BPB) :파일 시스템의 기본적인 정보를 담고 있으며, 드라이브의 구조, 파일 시스템의 크기, 섹터 크기 등을 정의시스템이 올바르게 액세스 할 수 있게 하는 중요한 메타 데이터를 제공한다. AddresssizeField NameDescription0x0000 ~ 0x00024b..

MBR/GPT 분석> MBR/GPT 구조MBRMBRSlackVBRVolumeDataVBRVolumeData MBR Slack : MBR과 VBR 사이에 있는 낭비되는 공간VBR : 볼륨의 시작에 위치하는 구조. BPB (해당 볼륨의 파일 시스템의 메타 데이터)와 부트 로더 로딩 코드 정보가 있음.Volume Data 　 : file system에 의해 할당된 볼륨의 데이터가 들어가있는 공간, MBR(Master Boot Record) 쉽게 얘기해서 컴퓨터가 부팅이 될 때 가장 먼저 참조하는 영역주로 윈도우 OS 같은 운영체제가 어디에 어떻게 위치해 있는지 식별컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로 하드디스크 또는 디스켓의 첫 번째 섹터에저장되어 있음각 디스크에서 4개 이상의 ..

NTFS (New Technology File System) 란?기존의 FAT(File Allocation Table) 시스템을 대체 하기 위해 설계 되었다.FAT(File Allocation Table) : 개인의 운영체제 용도로 사용하기 위해서 만들어진 파일 시스템.기존 FAT 대비 더 큰 파일 크기와 복잡한 데이터 구조 지원자동 복구 기능 지원, 사용자 권한 설정, 파일 암호화 NTFS의 특징 :NTFS은 기존 다른 파일 시스템과 다르게 중요한 설정 데이터 값들이 모두 파일 형태로 할당.앞에 설명한 FAT 파일시스템 같은 경우만 봐도 일정한 위치의 구조체에 레이아웃 값들 들어가고, 그 값들을 참조하여 파일시스템 설정이 가능한 구조NTFS은 설정 파일이 별도로 존재하며, 그 파일은 볼륨 어디에 ..

DATA area 구조파일이나 디렉토리 데이터가 실제로 저장되고 기록 됨.Data Area 부분의 첫 섹터는 'Root Directory' 가 저장됨.파일이나 디렉토리는 클러스터로 'Directory Entry' 라는 구조체 형식으로 저장. 크기는 32 byte 1. Directory Entry : : 파일 이름이 7byte 이하 = "Regular Directory Entry" 파일 이름이 8byte 이상 = "Long name Directory Entry" 오프셋 설명Name 이름Extension확장자Attr속성Reserved12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐 13은 생성된 시간 기록(1/10초 단위)Create Time파일 생성 시간Cre..

FAT area 구조 1. FAT Area : 파일 혹은 디렉토리의 데이터 저장할 때, 디스크 상에 할당되는 클러스터의 정보를 Entry 형태로 저장하는 영역.FAT #1FAT #2 : FAT #1 의 백업본이므로 내용은 둘 다 동일하다.FAT Entry : FAT32는 4byte 크기의 엔트리로 구성되어 있다. 이를 통해 데이터 영역의 시작 클러스터부터 마지막 클러스터까지 할당 관계를 표시할 수 있다.IndexEntry설명0 Entry0xFFFFFF8해당 미디어의 타입을 나타냄1 Entry0XFFFFFFFF파티션의 상태를 나타낸다2 Entry0x0FFFFF0F파일, 디렉토리가 디스크에 저장될 때 할당 받는 디스크의 클러스터 정보 나타냄. 파일의 끝을 나타내는 0x0FFFFFFF값이 있을 때 까..