| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
- WarGame
- 기계학습
- 웹페이지 만들기
- Python
- hackerrank
- 백준
- siss
- CSS
- lob
- 숙명여자대학교 정보보안동아리
- 숙명여자대학교 정보보안 동아리
- HTML
- c++
- SWEA
- 파이썬
- C언어
- 드림핵
- BOJ
- Javascript
- c
- Sookmyung Information Security Study
- The Loard of BOF
- PHP 웹페이지 만들기
- 생활코딩
- XSS Game
- 머신러닝
- hackctf
- BOJ Python
- 자료구조 복습
- 풀이
- Today
- Total
혜랑's STORY
파일시스템 기초 본문
[출처]
0. 저장장치 구조
모든 메모리는 바이트의 배열을 제공하며, 각 바이트는 주소값을 가지고 있다.
폰 노이만 구조 시스템에서 실행되는 전형적인 명령-실행 사이클에서는 먼저 메모리에서 명령을 가져와 그 명령을 명령 레지스터(Instruction register; IR)에 저장하고 명령을 해독한다.
**주기억장치**는 모든 것들을 전량 기록하고 전력이 차단되면 해당 값들이 다 사라지는 **휘발성 메모리**이다. 이러한 한계를 극복하려면 다른 저장장치의 힘을 빌리는데 이를 **보조기억장치**라고 한다. (SSD, HDD 등)
**SSD, HDD에서는 메모리에 적재되는 시점까지 거의 대부분의 프로그램이 저장**되며, 그러한 프로그램들 역시 각각이 저장해야 하는 정보들을 해당 장치에 저장한다. 이는 컴퓨터 외부에 위치하며, 일반적으로 주기억장치에 비해 많은 양의 정보를 기억할 수 있으며 전원이 꺼져도 데이터와 프로그램을 보존할 수 있다는 장점이 있다.
1. 파일시스템 소개
저장할 데이터가 많아지면서 파일이라는 개념을 사용하여 데이터를 구분해 저장하기 시작했다. 이때 단순히 순차적으로 데이터를 기록한 후 데이터의 시작위치와 크기(혹은 마지막 위치)만 알고 있다면 해당 파일을 다룰 수 있다. 하지만 단순한 백업 용이 아니라 데이터는 수시로 지워졌다가 재기록 된다.
또한 저장매체의 용량이 커지면서 수많은 파일에서 자신이 필요한 파일을 빠르게 접근하여 읽거나 기록해야 한다. 이렇듯 **파일 시스템은 데이터를 효과적으로 관리하기 위해 사전에 정의한 기록 방식**이다. 효과적 관리를 위해 최근에는 압축, 암호화, 저널, 동적 할당, 다국어 지원 등 다양한 기능을 보유하고 있다.
**파일시스템은 운영체제나 저장매체 혹은 사용환경에 따라 고유한 파일시스템이 사용된다.** 파일시스템은 표준에 대한 필요성이 없기 때문인지 각 벤더(공급자)들 마다 조금씩 변형하여 독자적으로 사용하는 경우가 많기 때문이다.
다시 말하자면 **파일시스템이란 운영체제가 파일, 디렉토리를 효율적/구조적으로 관리하기 위한것**이다.
2. 파일시스템 구조
저장매체에 많은 양의 파일들이 저장되고, 운영체제는 이러한 많은 파일을 관리하기 위해 파일시스템이라는 구조에 의존한다. 컴퓨터 구조로보면 **파일시스템은 사용자 영역이 아닌 커널 영역에서 동작한다.** 즉, 사용자에게 하드디스크의 동작을 추상화 시켜주는 도구가 파일시스템인 것이다. 사용자는 운영체제가 제공하는 API를 통해 파일시스템에 쉽게 접근할 수 있다.
파일시스템은 대부분 다음과 같은 추상화된 구조를 가진다.
Meta AreaData Area
- Meta 영역 : 일반적으로 데이터 영역에 기록된 파일의 이름, 위치, 크기, 시간정보, 삭제유무 등이 구조적으로 저장되어 관리된다.
데이터 영역에 기록된 모든 파일은 메타영역에 의해 해당 정보를 얻을 수 있으므로 직접 파일 데이터가 필욯한 경우가 아니라면 메타영역의 접급만으로 해당 파일의 정보를 확인할 수 있다.
ex) 윈도우 탐색기 : 직접 파일의 접근하지 않고 파일시스템에서 구조적으로 저장되어 있는 메타영역만 확인하여 빠르게 파일정보를 제공
제어권을 받은 응용프로그램은 메타영역을 확인하여 해당 파일이 위치한 데이터영역으로 이동하고 해당 위치부터 순차적으로 파일 데이터를 읽어들이며 처리한다. **메타영역의 사용으로 인해 실제 사용가능한 저장매체의 일부 영역이 줄어들지만, 효율성이라는 관점에서 메타영역의 사용은 더 많은 이득을 가져다준다.**
3. 주요 파일시스템
저장매체운영체제파일시스템
| 디스크 장치 | window | FAT(FAT12/16/32,exFAT), NTFS |
| Linux | ext(ext2/3/4) | |
| Unix-like | UFS | |
| OS2 | HPFS | |
| Mac OS | HFS, HFS+ | |
| Solaris | ZFS | |
| AIX | JFS | |
| IRIX | XFS | |
| HP-UX | ODS-5, Veritas File System(VxFS) | |
| 광학장치 | ISO 9660, UDF |
이미지 파일 통합 분석 도구 비교(FTK vs Encase)
1. FTK
- 증거 장업 중 발생될 수 있는 사고를 방지하기 위해 비트 단위로 미디어 이미지를 복제한다. 포렌식 이미지는 원본 장치와 일치하는 복사본으로, 파일 슬랙과 비할당된 공간을 포함하며, 삭제된 파일 복구도 가능하다.
- 현재 사용되는 거의 모든 이미지 타입을 지원하며, 주요 타임은 파일시스템을 지원하고 Imager 생성 포맷, Imager 읽기 포맷을 지원한다.
2. Encase
- 전 세계적으로 가장 유명한 툴이다. Encase로 분석하여 보고서가 나오면 법적으로 인정되는 가능성이 높기 때문에 사용률이 높다고 한다.
- 전체 디스크 이미징이 가능하고 필요에 따라 파일/폴더의 논리적 이미징이 가능하다.
- 그러나 실행할 때 램 영역만 이용하는 온전한 포터블 프로그램이 아니라 임시 디렉터리에 압축된 파일을 푼 후 실행된다. -> 라이브 대응에 부적합
'2021 SISS 21기 활동 > 1학기 포렌식[연합]' 카테고리의 다른 글
| [OtterCTF 2018] 1~6번 실습 (3) | 2021.06.24 |
|---|---|
| WIRESHARK 사용법 정리 (0) | 2021.04.08 |
