[File System] 논리적 파일 주소와 슬랙 공간

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 논리적 파일 주소 개념과 슬랙 공간에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

논리적 파일 주소(Logical File Address)

데이터 유닛의 논리적 파일 주소는 데이터 유닛이 할당된 파일의 시작지점에서 상대적인 주소입니다.

 

 

슬랙공간(Slack Space)

파일의 크기와 데이터 유닛 크기가 일치하지 않을 때 발생합니다.

마지막 데이터 유닛에서 사용하지 않는 바이트 = 슬랙

일부 슬랙영역에는 이전의 데이터를 영구 삭제하지 않아서 과거의 파일 또는 메모리 데이터가 존재할 수 있습니다.

 

 

램슬랙

운영체제가 선택한 데이터로 채우는데, 오늘날 대부분의 운영체제는 ‘0’으로 채웁니다.

흰색용지로 박스를 채우는 것과 같은 이치입니다.

과거의 운영체제(도스, 윈도우 초기 버전)는 섹터의 나머지를 메모리 데이터로 채웠습니다.

이면지를 구겨 박스를 채우는 것과 같은 이치입니다.

 

파일슬랙

데이터 유닛에 포함된 비사용 섹터 입니다.

운영체제에 따라서 비사용 섹터를 ‘0’으로 영구히 삭제하는 것도 있고, 삭제하지 않는 것도 있습니다.

슬랙영역은 할당영역에 속합니다.

즉 현재는 새로운 파일에 할당되어 있지만, 과거의 데이터가 존재할 수 도 있는 영역이 바로 ‘슬랙영역’입니다

비할당 영역에는 ‘슬랙영역’이 존재할 수 가 없습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)