[File System] FAT 파일시스템 (6)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 FAT 파일시스템에서의 파일 복구에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!

 

파일 복구

파일을 삭제하면

디렉토리 엔트리 : 파일 이름의 첫 문자가 ‘0xE5’로 바뀝니다.

FAT 엔트리 : ‘0’으로 바뀝니다.

 

파일을 복구하기 위해서는

파일의 시작 위치와 크기를 알아야 합니다.

 

2가지 복구 옵션

할당된 클러스터이든 비할당 클러스터이든 무시하고, 파일 크기에 필요한 데이터량만큼 읽는 옵션 입니다.

비할당 클러스터만을 대상으로 파일 크기에 필요한 데이터량만큼 읽는 옵션 입니다.

- 복구 확률이 상대적으로 높습니다.

 

파일의 단편화와 조각 모음

조각모음은 파일에 할당된 클러스터를 연속적으로 배열하는 작업이기 때문에, 마지막으로 조각모음을 한 다음에 삭제한 파일은 그 만큼 복구될 확률도 높아집니다

다만, 조각모음 이전에 삭제한 파일은 해당 클러스터가 조각모음으로 인해 재할당 되어 버리기 때문에(덮어 써짐) 복구가 거의 불가능합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)