안녕하세요. 도깬리 포렌식스 입니다.
오늘도 Macintosh File System에 대해 알아 보겠습니다. 모두 화이팅하세요!!!
(주의 : Apple의 구형 파일시스템인 HFS+ 파일시스템을 기준으로 설명합니다. Apple은 HFS+ 를 대체하기 위하여 APFS 파일시스템을 개발하였습니다. APFS는 2017년 3월 iOS 10.3와 함께 모바일 기기에 출시됐으며, 그해 9월 macOS 10.13으로 맥에도 출시되었습니다. 이상 https://namu.wiki/w/APFS 참조)
Mac OS X Extended
Mac OS X Extended는 HFS+ 로 알려져 있습니다.
이것은 FAT32 파일시스템과 비슷한 기능을 갖습니다.
이것은 OS X 8.1 이후의 Mac OS 시스템에서 이용되었습니다.
파일 이름은 255개의 글자로 제한됩니다.
Allocation block size는 32비트입니다.
Journaling이 추가된 HFS +는 2016년까지 Mac에서 가장 일반적으로 사용되었던 파일시스템입니다.
Mac OS X Extended Case-Sensitive
Mac OS X Extended Case-Sensitive는 HFSX로 알려져 있습니다.
파일과 폴더의 이름에서 대소문자를 구별합니다.
Mac OS X Extended Case-Sensitive, Journaled
Mac OS X Extended Case-Sensitive, Journaled는 HFSJ로 알려져 있습니다.
볼륨 구조의 무결성을 보호하기 위하여 저널링(Journaling)기능을 추가하였습니다.
Mac OS X Extended Case-Sensitive, Journaled, Encrypted
128비트 전체 디스크 암호화(Full disk encryption)를 추가하였습니다.
Unix File System – UFS
UFS는 Mac OS X에 도입되었으나 거의 사용되지 않았습니다. (10.4 이전 버전에서 발견됩니다.)
UFS는 Macintosh File System(MFS)와 비슷하나 약간의 차이점은 있습니다.
/ 가 : 로 대체되었습니다.
UFS는 Single data fork를 사용하는데 반해, HFS+는 multiple을 사용합니다.
UFS는 만든 날짜를 기록하지 않고, 수정 날짜를 보여줍니다.
MS-DOS File System
MS-DOS 포맷으로 초기화하고 FAT-32 파일시스템을 생성가능 합니다.
윈도우와 Mac 컴퓨터에서 저장된 포렌식 이미지를 분석하는 조사자에게는 바람직한 포맷입니다.
FAT32는 4GB의 파일 크기의 제한이 있습니다. 따라서 포렌식 이미지를 생성할 경우 분할하여야 합니다.
ExFAT File System
디지털 카메라와 모바일 디바이스의 외장 미디어에서의 ExFAT의 사용 빈도가 높아짐에 따라 추가된 파일시스템입니다.
파일 크기가 16 Exabytes로 증가되었습니다.
디스크 크기도 64 Zetabytes(이론상) 커졌습니다.
Access Control Lists (ACLs)를 지원합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Macintosh File System (04) (0) | 2023.09.23 |
|---|---|
| [Mac Forensics] Macintosh File System (03) (0) | 2023.09.21 |
| [Mac Forensics] Macintosh File System (01) (0) | 2023.09.17 |
| [Mac Forensics] Mac OS X 간편하게 조사하기 (0) | 2023.09.15 |
| [Mac Forensics] Mac OS X 소개 (06)-Root Directory (0) | 2023.09.12 |