[파일시스템 기초] 파일시스템, 이미징 도구

파일시스템

: 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도록 보관 또는 조직하는 체제

- 파일시스템 특징

• 계층적 디렉터리 구조를 가진다
• 디스크 파티션 별로 하나씩 둘 수 있다

- 파일시스템의 역할

• 파일 관린
• 보조 저장소 관리 : 저장 공간 할당
• 파일 무결성 메커니즘 : 파일이 의도한 정보만 포함하고 있음을 의미
• 접근 방법 : 저장된 데이터에 접근할 수 있는 방법 제공

- 파일시스템 구조

• 메타 영역 : 데이터 영역에 기록된 파일의 이름, 위치, 크기 등의 파일정보가 들어있다
• 데이터 영역 : 파일의 데이터가 들어있다

- 파일시스템 종류

운영체제	파일시스템 종류
Windows	FAT*, NTFS
Linux	Ext*
Mac OS	HFS, APFS
Solaris	ZFS

- FAT32 (File Allocation Table)
: 클러스터 별로 파일이 할당

• 지원하는 드라이브 최대 용량 : 32GB
• 파일 하나 당 최대 크기 : 4GB

장점	단점
- 읽고 쓰는 속도가 빠르다 - 안전성이 좋다 - 다양한 OS와 기기와의 호환성이 좋다	- 고용량 파일을 다루기 어렵다

- NTFS (New Technology File System)
: FAT의 한계점을 개선한 파일시스템

• 지원하는 드라이브 최대 용량 : 256TB
• 파일 하나 당 최대 크기 : 16TB

장점	단점
- 대용량 파일 읽고 쓰기 가능 - 윈도우 OS 99%사용 형식	- 윈도우를 제외한 다른 OS에서 사용의 제한이 있다

• VBR(Volume Boot Record) : 볼륨, 클러스터 크기, 부트코드 부트 섹터 정보
• MFT(Master File Table) : 볼륨에 존재하는 모든 파일, 디렉토리에 대한 메타 데이터
• DATA

이미징 도구 조사

- 이미징
: 디스크의 원본 상태를 그대로 유지시키기 위해 물리적 데이터를 첫 번째 섹터부터 마지막 섹터까지 복사하여 파일 형태로 만드는 도구

• 이미징 도구는 임베디드 기기가 따로 있는 하드웨어 기반 도구와 일반 PC에서 실행할 수 있는 소프트웨어 기반 도구로 나눌 수 있는데, 이곳에서는 다음과 같은 소프트웨어 기반 도구를 대상으로 분석한다.

- FTK Imager
: Windows에서 분석할 수 있는 도구로써, 액세스 데이터에서 다운로드 가능한 툴로, 디지털 미디어를 수집하는데 사용합니다. 수집된 데이터 무결성을 보장하기 위해 비트 단위 또는 비트 스트림으로 정확히 이미지를 생성합니다. 더불어 데이터 사전 분석 및 RAM 같은 휘발성 데이터 수집이 가능합니다.

- EnCase
: Windows에서 사용가능한 디스크 이미징 도구

• Encase로 분석하여 보고서가 나오면 법적으로 인정되는 가능성 높기 때문에 사용률 높음
• 대용량 이미지를 불러와서 수사를 하면 중간에 강제 종료 가능성 있음 -> 처음부터 다시 수사해야 함
• 이미지파일 변경없이 가상으로 파티션 생성 -> 해시값이 달라지지 않음

- Tableau
: 데이터 시각화 프로그램