File System Forensics

[File System] FAT 파일시스템 (1)

도깬리 2023. 5. 27. 07:05

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 FAT 파일시스템 첫 번째 시간 입니다. 모두 화이팅하세요!!!

 

FAT 파일시스템 소개

도스, 윈도우 9x 운영체제의 주 파일시스템이었습니다.

모든 윈도우, 대부분의 유닉스 운영체제에서 지원하는 파일시스템입니다.

디지털 카메라의 플래시 카드, USB 드라이브의 기본 파일시스템입니다.

 

기본 매커니즘

각 파일과 디렉토리의 메타데이터는 디렉토리 엔트리에 저장합니다.

각 파일과 디렉토리의 내용은 클러스터라는 데이터 유닛에 저장합니다.

각 파일과 디렉토리에 1개 이상의 클러스터를 할당하였을 때 다른 클러스터는 FAT이라는 데이터 구조체를 사용하여 찾게 됩니다

엔트리 크기에 따라 FAT12, FAT16, FAT32 등이 있습니다.

 

파일시스템 구조체

부트섹터

볼륨의 첫 번째 섹터 (섹터 0)입니다.

 

예약된 영역

FAT32의 경우에는 백업본도 두고 있습니다 (섹터 6)

 

FSINFO 구조체

FAT32에 있고, 다음에 이용 가능한 클러스터의 위치와 할당 가능한 클러스터의 총량에 대한 정보가 있습니다.

 

필수 부트 섹터 데이터

예약된 영역

섹터 0번에서 시작합니다.

크기는 부트 섹터에서 결정합니다.

- FAT 12/16 : 1개의 섹터

- FAT 32 : 여러 개의 섹터

 

FAT 영역

1개 이상의 FAT 구조체를 갖습니다.

예약된 영역에 이어집니다.

FAT 영역 크기 = FAT 구조체 수 * FAT 크기 (2개의 값은 부트섹터에 있음)

 

데이터 영역

파일과 디렉토리의 내용은 클러스터에 저장됩니다.

FAT 영역에 이어집니다.

- FAT 12/16 : FAT영역, 루트 디렉토리 다음으로 이어집니다.

- FAT 32 : 루트 디렉토리가 데이터 영역 어느 곳이든 위치할 수 있습니다. 다만 대부분 데이터 영역 시작 부분에 위치합니다.

데이터 영역 크기 = 전체 섹터수 데이터 영역의 시작 섹터 주소

클러스터당 섹터수는 부트섹터에 기록됩니다.

 

루트 디렉토리

- FAT 12/16 : 고정된 크기를 갖습니다

- FAT 32 : 필요한 만큼 크기를 늘일 수 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)