안녕하세요. 도깬리 포렌식스 입니다.
오늘은 FAT 파일시스템에서 Volume Label Entry, Directory Entry, Long File Name Directory Entry에 대해 알아보겠습니다. 모두 화이팅하세요!!!
볼륨레이블 엔트리
짧은 파일명 디렉토리 엔트리 (SFN, Short File Name Directory Entry)
긴 파일명 디렉토리 엔트리 (LFN, Long File Name Directory Entry)
원래 디렉토리 엔트리는 8글자의 파일명과 3글자의 확장자명으로 구성되어 있었습니다.
긴 파일명, 특별한 문자가 포함된 파일명을 위해 LFN(Long File Name)이 필요합니다.
긴 이름의 파일은 여러 개의 LFN과 1개의 SFN으로 구성되고, LFN이 SFN보다 위에 있습니다.(우선합니다)
역순으로 읽어야 합니다.
긴 이름 파일의 첫 번째 엔트리는 해당 파일의 마지막 LFN엔트리입니다.
SFN을 사용하여 체크섬값을 계산하고, LFN의 체크섬은 모두 같아야 합니다.
만약 LFN의 체크섬과 SFN이 매칭되지 않는다면 해당 디렉토리 엔트리는 손상되었을 것 입니다
LFN FAT 디렉토리 엔트리의 데이터 구조체
| 바이트 범위 | 설명 |
| 0 ~ 0 | 순서번호 (0x40으로 OR됨)와 할당상태 (만약 비할당이면 0xE5로 설정) |
| 1 ~ 10 | 파일이름문자 1~5 (유니코드) |
| 11 ~ 11 | 파일속성 (0x0F) |
| 12 ~ 12 | 예약됨 |
| 13 ~ 13 | 체크섬 |
| 14 ~ 25 | 파일이름문자 6 ~ 11 (유니코드) |
| 26 ~ 27 | 예약됨 |
| 28 ~ 31 | 파일이름문자 12 ~ 13 (유니코드) |
예제데이터 : FAT32_128MB.dd
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (02) - MFT 엔트리, 파일시스템메타데이터 (0) | 2023.06.23 |
|---|---|
| [File System] NTFS (01) - MFT (0) | 2023.06.21 |
| [File System] FAT 파일시스템 (9) - Directory Entry (0) | 2023.06.16 |
| [File System] FAT 파일시스템 (8) - File Allocation Table (0) | 2023.06.14 |
| [File System] FAT 파일시스템 (7) - Boot Sector (0) | 2023.06.11 |