안녕하세요. 도깬리 포렌식스입니다.
오늘은 FAT 파일시스템에서 디렉토리 엔트리 구조체를 알아보겠습니다. 모두 화이팅 하세요!!!
디렉토리 엔트리
파일/디렉토리의 이름과 메타데이터가 저장됩니다.
기본 FAT 디렉토리 엔트리의 데이터 구조체
| 바이트 범위 | 설명 |
| 0 ~ 0 | 파일이름의 첫 문자와 할당상태를 나타냄 (비할당 : 0xE5, 0x00로 표시) |
| 1 ~ 10 | 파일이름의 두 번째 ~ 11번째 문자를 나타냄 (ASCii) |
| 11 ~ 11 | 파일의 속성 |
| 12 ~ 12 | 예약됨 |
| 13 ~ 13 | 생성시간 (0.1초 단위) |
| 14 ~ 15 | 생성시간 (시간, 분, 초) |
| 16 ~ 17 | 생성날짜 |
| 18 ~ 19 | 접근날짜 |
| 20 ~ 21 | 첫 번째 클러스터 주소의 상위 2바이트 부분 (FAT12/16의 경우에는 ‘0’값임) |
| 22 ~ 23 | 수정시간 (시간, 분, 초) |
| 24 ~ 25 | 수정날짜 |
| 26 ~ 27 | 첫 번째 클러스터 주소의 하위 2바이트 부분 |
| 28 ~ 31 | 파일의 크기 (디렉토리는 ‘0’값), 4바이트 크기이므로 파일의 최대 크기는 4GB |
디렉토리 엔트리의 속성 필드의 플래그 값
| 플래그 값 (비트) | 설명 |
| 0000 0001 (0x01) | 읽기 전용 |
| 0000 0010 (0x02) | 숨김 파일 |
| 0000 0100 (0x04) | 시스템 파일 |
| 0000 1000 (0x08) | 볼륨 레이블 |
| 0000 1111 (0x0f) | 긴이름 파일 |
| 0001 0000 (0x10) | 디렉토리 |
| 0010 0000 (0x20) | 어카이브 |
부트섹터, 디렉토리 엔트리, FAT의 연결 과정 (FAT32_128MB.dd)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (01) - MFT (0) | 2023.06.21 |
|---|---|
| [File System] FAT 파일시스템 (10) - SFN, LFN Entry 등 (0) | 2023.06.19 |
| [File System] FAT 파일시스템 (8) - File Allocation Table (0) | 2023.06.14 |
| [File System] FAT 파일시스템 (7) - Boot Sector (0) | 2023.06.11 |
| [File System] FAT 파일시스템 (6) (0) | 2023.06.09 |