안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Windows 7 이후의 GPT 파티션과 파일시스템의 변화에 대해 알아보겠습니다. 화이팅하세요.
NTFS Changes
Windows 7은 NFTS 버전 6이지만 Vista와 기능면에서 거의 유사하였습니다.
Extensible Firmware Interface
“EFI는 BIOS가 진화된 것으로, GPT와 짝꿍이다.”
EFI가 적용된 경우, BIOS 설정 화면을 볼 수 없습니다.
각종 드라이버의 저장 위치
Windows XP
BIOS에 저장됩니다. 즉, ROM에 저장됩니다.
Windows 7
EFI 파티션에 저장됩니다. 즉, HDD에 저장됩니다.
What is a GUID
GUID (Global Unique Identifier, 광역식별자)
운영체제가 서로 다른 개체를 식별하기 위하여 이용하는 식별값입니다.
32개의 헥사 값으로 표현되는 16 바이트 값입니다.
예) {75048700-EF1F-11D0-9888-006097DEACF9}
Disk Structures
| Windows XP | Windows 7 |
| BIOS | EFI |
| MPT | GPT |
| MBR partition table | GUID partition table |
| 주파티션 개수 : 4개 | 주파티션 개수 : 128개 |
| Boot cord & Boot file과 연동 | GPT라도 호환을 위해 MBR을 가지고 있다. |
| Windows Server 2003 | Windows 2000, XP | Windows 7 |
| MBR로 부팅 GPT는 Data 저장용 |
GPT 인식 안됨 | GPT 인식 가능하나 이동식 매체는 GPT로 포맷 불가능, MPT를 GPT로 변환 가능, 윈도우에서 파티션 최대 크기는 256TB |
GUID Partition Table Disk Structures
GPT 디스크도 MBR을 갖고 있습니다.
디스크 시작(LBA 0)에 위치하고 있는 Protective MBR 이라는 것이 있습니다.
Protective MBR은 MBR 디스크만을 인식하는 시스템이나 프로그램에서 해당 디스크가 비어 있는 것으로 착각하는 것을 방지하기 위해 존재합니다.
즉, 해당 디스크가 비어있지 않은 디스크임을 알려 주는 역할을 합니다.
구성요소
Protective MBR
Primary GPT Header
GUID Partition Entries
각 파티션 엔트리는 128 바이트 크기 (MBR의 경우에는 16 바이트)입니다.
파티션 엔트리에 포함되는 정보
Partition Type GUID
Unique GUID
Starting LBA of that partition
Ending LBA of that partition
Attributes
Volume name (in Unicode)
Backup GPT Header
GUID Partition Table Disk Layout
Primary GUID Partition Array Entries
Primary GPT Header
Microsoft Reserved Partition에 대한 GUID
예제)
ExFAT
FAT32의 용량 제한을 극복하기 위해 고안되었습니다.
윈도우 운영체제에서는 32GB 이상의 FAT32 볼륨을 지원은 하지만 만들 수는 없습니다.
즉, 32GB 이상의 볼륨을 만들려면 NTFS 또는 ExFAT 형식으로 포맷하여야 합니다.
그리고 4GB 이상의 크기를 갖는 하나의 파일도 만들 수 없습니다.
ExFAT은 이동식 대용량 저장장치를 지원하기 위하여 개발되었습니다.
파티션 하나를 최대 128PB까지 만들 수 있습니다.
파일 하나를 최대 16EB까지 만들 수 있습니다.
클러스터의 최대 크기가 32GB ~ 256TB의 볼륨의 경우 128KB까지 가능합니다.
참고로 NTFS의 최대 클러스터 크기는 64KB입니다.
ExFAT의 용량은 NTFS 보다 더 많이 지원하나, NTFS의 기능을 갖는 것은 아닙니다.
마지막 접근 날짜를 기록합니다. 이러한 메타 정보는 NTFS와 마찬가지로 압축 및 암호화되지 않습니다.
ExFAT 드라이브에 BitLocker를 사용할 수 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : AD Windows Forensics (Win7)
'FTK' 카테고리의 다른 글
| [FTK] 링크 파일과 점프 리스트 (2) (0) | 2022.08.29 |
|---|---|
| [FTK] 링크 파일과 점프 리스트 (1) (0) | 2022.08.27 |
| [FTK] 비트락커(BitLocker) 분석 (2) (0) | 2022.08.23 |
| [FTK] 비트락커(BitLocker) 분석 (1) (0) | 2022.08.21 |
| [FTK] 윈도우 7의 새로운 기능들 (0) | 2022.08.19 |