- FAT(File Allocation Table)
그림 1) FAT Reserved 영역의 추상화한 그림(http://forensic-proof.com/archives/372)
△ 예약영역 : FAT 파일시스템의 가장 앞부분에 위치하고, 부트섹터 등 파일시스템 설명하는 데이터를 포함하고 있음
(FAT12/16) 1섹터만!
(FAT32 Only!!)부트섹터는 0,6번 섹터, FSINFO는 1,7, 부트섹터의 부트코드영역 부족시 사용하는 2,8번섹터
offset 14-15를 확인하여 섹터 수를 확인!
▶ 필수 부트 섹터 데이터(36Bytes) + 부가 부트 섹터 데이터(12,16, 32 각 다름) + 시그니처(55AA)
▶ 예약영역 구조
△ FAT : 파일의 다음 클러스터와 할당상태 식별 위한 데이터를 갖는 구조체(비할당상태(삭제):offset 0번째 1바이트로 0xE5, 0X00 임)
백업 FAT 구조체를 포함하는 영역이고 예약 영역 바로 다음 섹터에서 시작
▶ FAT 그림
그림 2) FAT 구조체
△ DATA : 파일과 디렉토리 내용 저장영역
△ 디렉토리 엔트리
▶ 각 파일과 디렉토리의 메타데이터
▶ 디렉토리 엔트리가 위치하는 영역은 Data Area임
'Computer > #Go2 포렌식' 카테고리의 다른 글
| Filesystem Recovery (FAT32) (0) | 2018.07.21 |
|---|---|
| USB artifacts (0) | 2014.08.14 |
| File System #2 (0) | 2013.12.23 |
| File System #1 (0) | 2013.10.28 |
| Memory 분석 (0) | 2013.10.10 |