안녕하세요. 도깬리 포렌식스 입니다.
오늘은 파일시스템 레이아웃과 할당 알고리즘에 대해 알아 보겠습니다.
파일시스템 레이아웃
윈도우는 처음에는 MFT를 작게 만들었다가, 더 많은 엔트리가 추가되면서 점차 확장시켜 나갑니다.
따라서 단편화될 가능성이 높습니다.
단편화 현상을 막기 위해 볼륨의 약 12.5% 정도를 MFT가 쓸 수 있도록 미리 예약되어 있습니다.
윈도우 XP의 경우 파일시스템의 1/3 지점에 $LogFile, $AttrDef, $MFT, $Secure 파일이 저장되고, 다른 메타데이터 파일은 1/2 지점에 저장되었습니다.
$Boot 파일은 파일시스템의 첫번째 클러스터에 위치합니다.
파일시스템에서 메타데이터 파일 사이의 모든 공간은 사용자 파일과 디렉토리가 할당되는 공간입니다.
할당 알고리즘
윈도우 XP의 경우 ‘자동 맞춤’ 알고리즘을 사용하여 클러스터를 할당하였습니다.
데이터 크기를 고려하여 공간을 가장 효율적으로 사용할 수 있는 위치에 클러스터를 할당합니다
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (14) - $FILE_NANE (0) | 2023.07.19 |
|---|---|
| [File System] NTFS (13) - $STANDARD_INFORMATION (0) | 2023.07.17 |
| [File System] NTFS (11) - $BadClus 파일 (0) | 2023.07.13 |
| [File System] NTFS (10) - 클러스터와 $Bitmap (0) | 2023.07.11 |
| [File System] NTFS (09) - $Volume과 $AttrDef (0) | 2023.07.09 |