안녕하세요. 도깬리 포렌식스 입니다.
오늘 부터는 Macintosh File System에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
(Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조)
파티션과 볼륨
Partition Schemes은 다음과 같습니다.
- GPT (GUID Partition Table)
- APM (Apple Partition Map)
- MBR (Master Boot Record)
Partition Formats은 다음과 같습니다.
- Mac OS Extended
- Mac OS Extended (Journaled)
- Mac OS Extended (Journaled, Encrypted)
- MS DOS FAT32
- MS DOS exFAT
초기화
윈도우에서는 드라이브를 ‘Formatting’한다고 하지만, OS X 에서는 ‘Initializing’ 한다고 표현합니다.
‘초기화’는 Applications/Utilities 아래에 있는 Disk Utility로 수행합니다.
OS X에서는 파일시스템에 대해 6개의 선택사항이 있습니다.
NTFS의 경우에는 다른 Unix 환경에서와 마찬가지로 Mac OS X에서도 읽기만 가능한 파일시스템입니다.
Options
OS X 10.3 이후로 시스템에 Journaling이 포함되었습니다.
저널링 (Journaling)은 시스템 충격 또는 전원 차단의 경우에도 그 변경 기록을 유지함으로써 파일시스템의 무결성을 보호하기 위한 기술입니다.
대소문자 구별 옵션(Case-sensitive)은 다른 유닉스 시스템과 상호 호환을 위한 것 입니다.
‘MyFile.txt’와 ‘MYFILE.TXT’는 Case-sensitive 체계에서는 2개의 서로 다른 파일로 인식됩니다.
Partition Table
OS X 의 파티션 체계는 3개의 유형으로 나뉩니다.
GUID (Globally Unique Identifier) 파티션 테이블은 Intel-Based Mac의 경우 디스크에 반영하여야 하는 것 입니다.
GPT (GUID Partition Table)는 BIOS 대신에 Extensible Firmware Interface를 사용합니다.
APM (Apple Partition Map)은 PowerPC based Mac의 경우 디스크에 반영하여야 하는 것 입니다.
MBR (Master Boot Record)은 DOS와 Windows 호환 시스템을 동작시키기 위한 것 입니다.
Mac OS X Standard
Mac OS X Standard는 HFS(Hierarchal File System)로도 알려져 있습니다.
이것은 FAT16 파일시스템과 비슷한 기능을 갖고 있습니다.
이것은 OS X 8.1 이전의 Mac OS 시스템에서 이용되었습니다.
파일 이름은 31개의 글자로 제한됩니다.
Allocation block size는 16비트입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Macintosh File System (03) (0) | 2023.09.21 |
|---|---|
| [Mac Forensics] Macintosh File System (02) (0) | 2023.09.19 |
| [Mac Forensics] Mac OS X 간편하게 조사하기 (0) | 2023.09.15 |
| [Mac Forensics] Mac OS X 소개 (06)-Root Directory (0) | 2023.09.12 |
| [Mac Forensics] Mac OS X 소개 (05)-User Home Folders (0) | 2023.09.09 |