[File System] 볼륨과 파티션

안녕하세요. 도깬리 포렌식스입니다.

오늘은 볼륨 분석에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

볼륨의 개념

‘볼륨’과 ‘파티션’을 혼용하지만 서로 다른 개념입니다.

볼륨은 운영체제나 응용프로그램이 데이터를 저장해 사용할 수 있도록 주소를 지정한 섹터들의 집합으로 섹터들이 반드시 연속적일 필요는 없습니다.

 

파티션

파티션은 볼륨에서 연속적인 섹터들의 집합입니다.

파티션시스템은 1개 이상의 테이블을 가지고 있으며, 각 테이블 엔트리는 하나의 파티션을 나타냅니다

각 엔트리는 파티션의 시작 섹터, 마지막 섹터, 파티션의 유형에 관한 정보를 포함합니다.

볼륨의 전체 구조를 파악하기 위해서는 반드시 파티션의 시작과 끝 위치를 알아야 합니다.

파티션의 시작과 마지막을 구분하기 위한 어떠한 정보(시그너처)도 없습니다.

 

볼륨 조합

여러 개의 디스크를 하나인 것처럼 보이게 하는 기술입니다

하나의 디스크가 손상되더라도 다른 디스크에 저장된 데이터를 이용하여 복구가능하게 합니다

저장공간을 쉽게 추가할 수 있습니다

 

섹터의 주소 지정

가장 일반적인 주소 지정 방법은 LBA 주소입니다. <-- 섹터의 물리적 주소

디스크 첫 번째 섹터를 ‘0’으로 시작합니다

논리적 볼륨 주소는 볼륨 시작에서 상대적인 섹터 주소를 말합니다.

1개의 디스크는 1개의 볼륨이므로 물리적 주소 = 논리적 볼륨 주소

 

볼륨분석 순서

파티션 테이블 위치 찾기 --> 파티션 테이블 내용 분석 --> 파티션 위치 확인

 

파티션 추출의 예

 

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)