도깬리포렌식스

안녕하세요. 도깬리 포렌식스입니다. 오늘은 FAT 파일시스템 4회차입니다. 삭제된 디렉토리에 대한 탐색과정과 FAT 파일시스템에서의 시간값 분석에 대해 알아보겠습니다. 파일 삭제 디렉토리 엔트리의 첫 바이트가 0xE5로 바뀝니다. 관련된 FAT엔트리의 값이 ‘0’으로 바뀝니다. 삭제된 디렉토리 탐색 비할당영역에서 ‘.’ 디렉토리 엔트리(시그너처 : 0x2e202020, 디렉토리 엔트리의 첫 4바이트)를 탐색하는 방법으로 찾습니다. 시간값 업데이트 3개의 시간 값(마지막 접근, 마지막 수정, 생성)은 부가적인 데이터이기에 잘못된 값을 가지고 있을 수 도 있습니다. 윈도우 동작에 따른 시간 값의 변경 패턴에 대한 참고자료 (Microsoft Knowledge Base Article 299648) 생성시각 새..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 FAT 파일시스템 3회차 입니다. 모두 화이팅 하세요!!! 디렉토리 엔트리 엔트리 크기는 32바이트 입니다. 파일 속성, 크기, 클러스터 시작 주소, 날짜/시간 정보를 포함합니다. 파일명도 포함합니다. 디렉토리 엔트리는 데이터 영역 어느 곳이든 존재할 수 있습니다. 디렉토리 엔트리는 클러스터처럼 고유 번호로 된 주소를 사용하지 않습니다. 7개의 파일 속성 - 디렉토리 속성 - 긴 파일명 속성(Long File Name) - 볼륨 레이블 - 읽기 전용 속성 - 숨김 속성 - 시스템 속성 - 아카이브 속성 3개의 시간 정보 생성일시, 수정일시, 접근날짜 3개의 시간 정보는 각각 다른 정확도를 갖습니다. - 생성일시 : 0.1초 단위 - 수정일시 : 2초 단위 - ..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 FAT 파일시스템 2번째 시간입니다. 모두 화이팅 하세요!!! FAT 파일시스템의 데이터 영역 파일이나 디렉토리의 내용을 포함합니다. ‘클러스터’라는 용어 연속적인 섹터의 그룹를 의미합니다. 1, 2, 4, 8, 16, 32, 64와 같은 2의 제곱이어야 합니다. 최대 크기는 32KB 입니다. 첫번째 클러스터 주소 : 2 0 또는 1의 주소를 갖는 클러스터는 없습니다. 첫 번째 클러스터 찾기 예약된 영역과 FAT영역은 클러스터 주소를 사용하지 않습니다. FAT 12/16 데이터 영역의 첫 번째 섹터는 ‘루트 디렉토리’ 입니다. 루트 디렉토리의 엔트리 수는 부트섹터에서 지정합니다. 루트 디렉토리 다음 섹터에 ‘클러스터 2번’이 위치합니다. FAT 32 데이터 영..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 FAT 파일시스템 첫 번째 시간 입니다. 모두 화이팅하세요!!! FAT 파일시스템 소개 도스, 윈도우 9x 운영체제의 주 파일시스템이었습니다. 모든 윈도우, 대부분의 유닉스 운영체제에서 지원하는 파일시스템입니다. 디지털 카메라의 플래시 카드, USB 드라이브의 기본 파일시스템입니다. 기본 매커니즘 각 파일과 디렉토리의 메타데이터는 ‘디렉토리 엔트리’에 저장합니다. 각 파일과 디렉토리의 내용은 ‘클러스터’라는 데이터 유닛에 저장합니다. 각 파일과 디렉토리에 1개 이상의 클러스터를 할당하였을 때 다른 클러스터는 ‘FAT’이라는 데이터 구조체를 사용하여 찾게 됩니다 엔트리 크기에 따라 FAT12, FAT16, FAT32 등이 있습니다. 파일시스템 구조체 부트섹터 볼..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 메타데이터 기반 복구 기술과 압축 파일, 암호화 파일, 관련 분석기술에 대해 알아 보겠습니다. 모두 화이팅 하세요. 메타데이터 기반 파일 복구 크게 2가지 형태의 파일 복구 기술이 있습니다. 메타데이터 기반 파일 복구 삭제된 파일의 메타데이터가 존재할 때만 가능한 복구 기술입니다. 응용프로그램 기반 파일 복구 삭제된 파일의 메타데이터가 영구히 삭제되었거나 삭제된 파일의 메타데이터 구조체가 새로운 파일에 재할당된 경우에 가능한 복구 기술입니다. 메타데이터 구조체와 데이터 유닛이 새로운 파일에 할당되어 서로 맵핑 되지 않을 수도 있습니다. (덮어 쓰여짐) 비할당 메타데이터 구조체가 여전히 데이터 유닛 주소를 가지고 있다 하더라도 데이터 유닛의 내용이 원래의 것인지..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 논리적 파일 주소 개념과 슬랙 공간에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 논리적 파일 주소(Logical File Address) 데이터 유닛의 논리적 파일 주소는 데이터 유닛이 할당된 파일의 시작지점에서 상대적인 주소입니다. 슬랙공간(Slack Space) 파일의 크기와 데이터 유닛 크기가 일치하지 않을 때 발생합니다. 마지막 데이터 유닛에서 사용하지 않는 바이트 = 슬랙 일부 슬랙영역에는 이전의 데이터를 영구 삭제하지 않아서 과거의 파일 또는 메모리 데이터가 존재할 수 있습니다. 램슬랙 운영체제가 선택한 데이터로 채우는데, 오늘날 대부분의 운영체제는 ‘0’으로 채웁니다. 흰색용지로 박스를 채우는 것과 같은 이치입니다. 과거의 운영체제(도스, 윈..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파일시스템 주소와 데이터의 할당 정책에 대해 알아 보겠습니다. 모두 화이팅 하세요!!! 파일시스템이란 컴퓨터에 데이터를 저장 및 검색하는 방법을 규정한 것 입니다. 파일시스템 = 구조적 데이터 + 사용자 데이터 파일시스템은 어떤 유형의 컴퓨터이든 동일하게 적용됩니다. (특정 컴퓨터로부터 독립적임) 다만, 파일의 내부 구조는 관련 응용프로그램마다 다릅니다. (응용 프로그램에 의존적임) 논리적 파일시스템 주소 물리적 주소 저장매체 시작에서 상대적인 주소입니다. 논리적 볼륨 주소 볼륨 시작에서 상대적인 주소입니다. 논리적 파일시스템 주소 논리적 볼륨 주소에서 데이터 유닛을 구성하기 위해 연속적인 섹터를 그룹화한 것 (클러스터)을 말합니다. 데이터 유닛 할당 정책 운..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 MBR과 파티션의 구성 메커니즘에 대해 알아 봅니다. 모두 화이팅 하세요!!! 기본적인 MBR 개념 512바이트 섹터 안에 MBR이 위치합니다. 부트코드 + 파티션 테이블 + 시그너처로 구성됩니다. 부트코드 파티션 테이블을 처리하는 명령어 + 운영체제 위치를 확인하는 명령어로 구성되어 있습니다. 파티션 테이블 4개의 엔트리를 갖습니다. 각 엔트리의 구성 항목은 다음과 같습니다. - 파티션 시작의 CHS 주소 - CHS 주소 : 8GB 이하 디스크에서만 동작, 즉 최신시스템에서는 필요 없으나 과거의 시스템을 위해 필요합니다. - 파티션 끝의 CHS 주소 - 파티션 시작의 LBA 주소 - LBA 주소 : TB 크기의 디스크까지 사용가능 합니다. - 파티션의 섹터 ..

안녕하세요. 도깬리 포렌식스입니다. 오늘은 볼륨 분석에 대해 알아보겠습니다. 모두 화이팅 하세요!!! 볼륨의 개념 ‘볼륨’과 ‘파티션’을 혼용하지만 서로 다른 개념입니다. 볼륨은 운영체제나 응용프로그램이 데이터를 저장해 사용할 수 있도록 주소를 지정한 섹터들의 집합으로 섹터들이 반드시 연속적일 필요는 없습니다. 파티션 파티션은 볼륨에서 연속적인 섹터들의 집합입니다. 파티션시스템은 1개 이상의 테이블을 가지고 있으며, 각 테이블 엔트리는 하나의 파티션을 나타냅니다 각 엔트리는 파티션의 시작 섹터, 마지막 섹터, 파티션의 유형에 관한 정보를 포함합니다. 볼륨의 전체 구조를 파악하기 위해서는 반드시 파티션의 시작과 끝 위치를 알아야 합니다. 파티션의 시작과 마지막을 구분하기 위한 어떠한 정보(시그너처)도 없습..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 파일시스템 포렌식 첫 시간입니다. 데이터 구조체에 대하여 알아 보겠습니다. 모두 화이팅하세요!!! 데이터 구조체 데이터가 어떻게 설계되어 있는지 지도 같은 역할을 합니다. 저장장치에 데이터를 쓸 때 값을 저장해야 할 장소를 결정할려면 적절한 데이터 구조체를 참조해야 합니다. 저장장치에서 데이터를 읽을 때는 먼저 데이터 구조체 시작 위치를 확인해야 합니다. 플래그 값 데이터를 0 또는 1로 표현하여 그것의 존재 여부를 나타냅니다. 예) 부팅가능한 파티션인지 여부를 나타내는 2가지 방법 (1) 1개의 바이트를 할당하여 0 또는 1을 저장하여 나타냄 (2) 1개의 바이트에 여러 개의 2진수 조건을 묶어서 나타냄 (2)의 경우, 각 비트는 하나의 특징 혹은 옵션을 나..