hdhwang's Blog

1. NTFS 메타 데이터 파일 메타 데이터 파일(Meta Data File)이란 NTFS가 볼륨을 관리하기 위해서 사용하는 시스템 파일을 말한다. NTFS는 다른 일반적인 파일시스템들처럼 볼륨을 관리하는 데이터들을 따로 영역을 두고 있는 것이 아니라 파일의 형태로 관리하고 있다. 파일의 형태로 관리하기 때문에 NTFS는 확장성이 좋으며, 정해진 볼륨의 형태가 없다는 점이 특징이다. 1.1. 메타 데이터 파일 종류 메타 데이터 파일들은 일반적인 파일들과 구분 짓기 위해 이름 앞쪽에 ‘$’로 표시한다. 또한 속성 이름들과 구분 짓기 위해서 첫 글자를 제외한 나머지는 전부 소문자로 적는다(단, $MFT 메타 데이터 파일은 전부 대문자로 이루어져있다). 메타 데이터 파일들의 내용은 볼륨의 어느 위치에 존재해도..

1. FAT 파일 시스템 QDOS가 나오면서 FAT파일시스템이 소개 되며, IBM과 Microsoft로 넘어가면서 PC-DOS, MS-DOS로 바꾸고, x86 PC의 운영체제로 탐재되고, IMB x86 PC가 엄청난 성공을 거두면서 표준처럼 자리잡고, 다른 PC 메이커들도 호환기존으로 만들어 내면서 MS-DOS도 대중적인 OS가 되었다. 따라서 자연스레 FAT 파일시스템이 가장 많이 쓰이는 파일시스템으로 자리 잡게 되었다. 1.1. FAT12 FAT 12는 1980년에 나온 FAT 파일시스템의 최초 버전이다. 이는 다른 버전과 구분하기 위해 FAT12라고 불리며 플로피디스크 파일저장을 위해 개발되었다. 당시 PC는 HDD가 없고 5.25인치 플로피디스크가 대세였던 시절이었으며, 최초로 발표된 FAT12구..

1. GPT 파티션 1.1. 전체 개념 GPT 디스크는 EFI라는 펌웨어에서 사용하는 디스크 형식으로 MBR과 마찬가지로 디스크에 대한 정보를 담고 있는 영역이다. GPT 디스크를 통해 부팅을 하기 위해선 BIOS가 아닌 EFI(UEFI) 시스템이 필요하며, 운영체제에서도 이를 지원해야 한다. 최근에 출시 된 메인보드에서는 이를 지원하고 있으며, 운영체제는 윈도우 기준으로 윈도우 XP 64비트 버전부터 이를 지원한다. GPT 디스크는 MBR의 단점을 극복하기 위해 16Byte였던 파티션 엔트리의 크기를 128Byte로 확장하였고 파티션 테이블의 크기는 16,384Byte로 확장하였다. 그리하여 하나의 디스크에 최대 128개의 파티션을 생성 할 수 있다. GPT 디스크들을 그림 1처럼 5개의 영역으로 나눌..

1. 확장 파티션 1.1. 확장 파티션의 개념 MBR은 4개의 파티션을 표현 할 수 있다. 그러나 사용자들은 그것보다 더 많은 파티션들을 필요로 할 때가 있다. 이러한 경우에는 더 많은 파티션을 위해 MBR 내의 1, 2, 3 엔트리들은 그대로 사용하고 마지막 엔트리를 ‘확장 파티션’으로 만드는 것이다. 주 파일시스템 파티션(primary file system partition)은 MBR의 엔트리에서 지정한 한 파티션이고, 그 파티션은 파일시스템이나 다른 구조화된 데이터를 포함한다. 주 확장 파티션(primary extended partition) 또한 MBR 엔트리에서 지정한 한 파티션이고, 이 파티션에 추가적인 파티션들을 포함시킬 수 있다. 주 파일시스템 파티션과 확장 파티션을 [그림 1]에서 볼 수..

1. 파일 시스템 파일 시스템은 도스나 윈도우 리눅스와 같은 운영체제가 파일을 저장하기 위해 파일을 관리하는 체계를 말한다. 모든 운영체제는 각각의 파일시스템을 사용하는데 서로 호환이 되지 않고 독특한 자신들만의 파일시스템을 만들어 운영하게 된다. 파일 시스템을 작성해야 하드디스크를 포맷하고 드라이브를 설정해서 파일을 저장할 수 있고 파일을 저장하는 방식은 이 파일 시스템에 따라 결정된다. 윈도우의 파일 시스템은 FAT(File Allocation Table) 과 NTFS(NT File System) 두 가지 종류의 파일 시스템을 사용한다. 1.1. FAT FAT 파일 시스템은 도스 시절부터 사용되고 있는 대표적인 파일 시스템으로, 하드디스크에 FAT(File Allocation Table : 파일 할당..

1. 사전 작업 1.1. 증거 USB 메모리 복제 디지털 증거를 분석하는 과정에서 증거가 훼손 되는 경우를 대비하여, 증거 USB 데이터를 여분의 USB 메모리에 복제를 수행한다. 디지털 증거 분석은 복제한 USB 메모리를 통해 수행한다. 1.2. 증거 USB 메모리 무결성 보존 증거 USB 메모리 복제가 완료된 후, 분석을 수행하는 과정에서 데이터가 훼손되는 경우를 방지하기 위해, 분석을 수행하는 시스템에 증거 USB를 읽기 전용으로 마운트 한다. Windows 운영체제의 경우, 레지스트리 설정을 통해 이를 수행할 수 있다. HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\StorageDevicePolicies에 DWORD 값으로 WriteProtect를 생성한 후 ..

1. Case Senario 우리나라의 영화시장이 급속히 성장하자 외국의 한 대형 영화사가 본인들이 제작한 블록버스터 영화를 우리나라 유명 멀티플렉스 영화관에서 세계최초로 개봉하였다. 그러나, 최초개봉 후 3시간뒤부터 인터넷에서는 아이디 ‘kimdocam’이라는 자가 해당 영화의 선명한 캠버전을 판매하겠다며 몇분간의 샘플 영상을 포함한 스팸메일 광고를 시작하였다. 신고를 받은 수사기관은 도촬영상의 유포를 막기 위해 스팸메일에 첨부된 영화의 샘플화면의 도촬각도를 긴급 분석하여 영화관내 촬영 좌석 범위를 축소하고, 해당 좌석들의 티켓구매 장면 CCTV영상을 분석하여 현금으로 티켓을 구매한 유력한 용의자의 이동선을 추적하였다. 수사관들의 신속한 수사로 시내 모 PC방에서 광고문건을 게재중인 용의자 ‘김도촬’을..