Security/Forensic (practice) 썸네일형 리스트형 [WIndows] 00 개요 00. 개요Forensic - Practice - Windows 카테고리는 "인사이드 윈도우즈 포렌식" 교재를 통해 윈도우즈 포렌식의 실습에 대한 내용을 정리하여 게시하는 카테고리로 1~2일에 1개 게시물을 원칙으로 합니다. 더보기 [File System] FAT 32 이론 및 수동 분석 1. 실습 환경 VersionHost PCWindows 7 64bitGuest PCWindows xp sp2Hex EditorHxDPerl CodingEdit Plus3[표 1-1] 실습 환경 2. FAT 32 개요 File Allocation Table 이라는 파일 시스템으로 Windows 기반의 주로 작은 용량의 HDD에서 사용되었던 간단한 파일 시스템이다. 하지만 현재는 NTFS 등이 등장하면서 FAT 파일 시스템은 USB 등의 이동식 저장 장치 등과 같은 용량이 작은 장치의 파일 시스템으로 사용이 되고 있다. 3. FAT 32 구조 [그림 3-1] FAT 32 구조 - Boot Record : 1 Sector, Boot Record는 볼륨의 첫 번째 섹터이자 Reserved Area의 첫 번째 섹.. 더보기 [File System] MBR 분석 1. 실습 환경 VersionHost PCWindows 7 64bitGuest PCWindows xp sp2Hex EditorHxDPerl CodingEdit Plus3[표 1-1] 실습 환경 2. MBR 파티션이 여러 개인 다중 파티션의 경우 각 파티션의 첫 번째 섹터에 존재하는 BR 만으로는 어떤 파티션을 부팅으로 사용할지 알 수 없다.때문에 BR(Boot Record) 중에서 메인 격인 MBR(Master Boot Record)를 두어 이 역할을 제공하였다. [그림 1-1] MBR 구조 MBR에는 Boot Code와 함께 0xAA55 로 고정된 값을 갖는 Signature 를 갖고 있으며 마지막으로 파티션의 부팅 가능 여부 등을 담고 있는 Partition Table 을 포함하고 있다.이제부터 이 .. 더보기 [File System] Partition VS Volume 01. 개요일반적으로 Partition 과 Volume 라는 개념이 많이 헷갈리는데 본 문서에서는 이를 구분하고 넘어가려한다.아주 간단하게 차이를 설명하자면 "공간의 연속 여부" 가 Partition과 Volume 를 분류하게 된다. 02. Partition저장 장치 내부에서 데이터를 저장하기 위해 논리적인 단위를 매기는데 이때 연속된 저장 공간으로 나누는 것을 Partitioning 이라 하며 그 연속된 공간을 Partition 이라고 한다.예를 들어 디스크 하나는 파티션을 통해 공간을 나누어 사용할 수 있는데 이는 한 개의 디스크가 연속된 공간으로 이루어져 있기 때문이다.반면에 디스크를 두개 사용한다고 한다면 파티션을 통해서는 분류할 수 가 없는데 이는 디스크는 각각의 물리적 장치이어서 연속된 공간으.. 더보기 [File System] file system 과 구성 요소 01. File System저장 장치 내에서 데이터를 읽고 쓰기 위해 미리 정해놓은 약속. 02. File sytem 종류(1) FAT[Microsoft] File Allocation Table의 약어로 크기가 작은 저장 장치를 대상으로 만들었기 때문에 아주 단순한 구조로 되어있다.현재는 이동식 저장 장치에서 많이 사용하며 연결 리스트 기반의 자료구조라서 검색에 좀더 오랜 시간이 걸리게 된다.또한 파일 데이터 블록들의 단편화 현상 때문에 한 파일의 데이터일지라도 디스크 헤드가 여러번 이동해야한다. (2) HPFS[IBM] High Performance File System의 약어로 NTFS가 나오기까지 많은 영향을 준 파일 시스템이다.FAT와는 달리 최조 설계부터 대용량 디스크에 적합한 구조로 제작되어 .. 더보기 이전 1 다음
