Disk Forensic 이론 #1 - FAT

Startup 디스크 포렌식 이론 #1 FAT

- FAT 구조를 이해하고 데이터 위치 찾기

- FAT 구조에 따른 위치 찾기

 1) MBR -> VBR 위치 찾기

   ㄴ 00 00 00 80(HEX) = 128(10) 섹터

 

 2) RS(Reserved Sector) 위치로 FAT, Root Directory 찾기

   ㄴ 101A(h) = 4122(10)

    ㄴ 4250 (FAT 위치) = 4122(RS) + 128(VBR 위치)

    ㄴ 8320(Root Dir) = 4250(FAT 가장 앞) + (2035(0x07f3) * 2)(FAT 크기)

      ㄴ 곱하기 2를 한 이유는 FAT와 FAT Mirror 두 개 이기 때문

 3) Root Directory에서 Data 찾기

   ㄴ 해당 예제는 파일명이 긴 예제를 넣었기 때문에 다소 혼동이 될 수 있으나 abcdefg12345678.jpg 파일임

     ㄴ 0x00410080 - 0x0041009F -> 0x00410060 - 0x0041007F -> 0x00410040 - 0x0041005F 순으로 읽으면 됨

   ㄴ 해당 파일 위치 = (((Cluster Hi + Low) - 2) * 8) + 현재 섹터

     ㄴ 8344 섹터 = ((5-2) * 8) + 8320

   ㄴ 추가로 휴지통 위치로 가려면

     ㄴ 8328 = ((3-2) * 8) + 8320

 - 해당 목적은 FAT 구조 이해와 위치 찾기이고 자세한 헤더의 정보들은 많은 블로그에서 확인 필요 

 - 생각보다 복잡하고 데이터 추출 할 수 있는 코딩도 해보는 것이 더 이해가 갈 듯...