디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. 파일시스템과 파일시스템 기초 분석의 목표
  • 1-1) 파일시스템 이란?
  • 1-2) 파일시스템 기초 분석의 목표
  • 2. 디지털포렌식에서 파일시스템의 관점
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장

4) 파일시스템 기초 분석

1. 파일시스템과 파일시스템 기초 분석의 목표

1-1) 파일시스템 이란?

  • (ChatGPT 답변) 파일시스템(File System)은 운영체제에서 파일을 관리하는 데 사용되는 구조와 규칙의 집합입니다. 파일시스템은 데이터를 저장하고, 조직하고, 액세스할 수 있는 방법을 제공합니다. 다양한 종류의 파일시스템이 존재하며, 각각의 파일시스템은 고유한 특성과 용도를 가지고 있습니다.

  • 그냥 간단하게 그냥 파티션 분석 처럼 파일시스템별로 각자의 방식으로 약속을 해서 파일을 저장하고, 이 파일에 대한 정보를 어디에 저장하고, 삭제 시 어떻게 할지에 대해서 약속한 것이라고 보면 됩니다.

  • 어찌됫건 우선은 실습을 통해 한번 친근해진 이후에 포렌식적인 관점을 가진 상태로 다시 한번 생각을 해보면 좋을듯 합니다.

1-2) 파일시스템 기초 분석의 목표

  • 디지털포렌식과 친해지기에서 파일 시스템 기초분석의 목표는 다음과 같습니다.

  1. 일반적으로가장 많이 쓰이는 파일 시스템 FAT32, NTFS, EXT4의 기본 분석 해보기 전체용량, 데이터 영역의 위치, 몇 가지 특성 등..

  2. 내가 저장한 파일이 저장되어 있는 섹터를 HxD만 가지고 0번 섹터(MBR)부터 접근해서 추출해보기

  3. 내가 저장한 파일의 파일명이 무엇인지, 경로가 어디인지, 언제 생성했는지 파악해보기

  4. 간단한 탐색기 만들어보기! (물리적으로 접근해서 섹터 번호를 읽어오는 방식으로.. 가능한 부분에서 데이터 복구 기능 추가)

  • 디지털포렌식과 친해지기에서는 모든 속성, 영역에 대해서 분석하는 것을 목표로 하진 않을 것입니다!

    이유는 오랜기간 파일시스템이 발전을 하면서 파일을 보다 잘 관리하기 위해 다양한 옵션들 많이 추가하였으나, 처음 디지털포렌식을 접근하거나 이제 막 친해지기 시작하는 단계에서는 이 모든 것이 너무 과도하게 많은 양으로 접근하기에는 너무 과하다고 생각하기 때문입니다.

    그리고 추가적으로 연구를 할만한 가치가 있는 부분도 여전히 존재 하는게 파일시스템 영역이기 때문에 포렌식 전반에 걸쳐 기본적인 큰 그림이 어느 정도 그려진 후에 파일시스템의 특정 속성들을 상세 분석하고, 필요하다면 연구를 통해 다양한 방식으로 포렌식 관점에서 분석 기법을 개발할 수 있는 방향으로 추가적인 공유등을 하는 것을 목표로 할 것입니다.

2. 디지털포렌식에서 파일시스템의 관점

  • 파일시스템은 파일을 저장하고, 삭제하고 관리하다보니, 파일의 내용이 혹은 파일이 생성된 시점등이 중요해지는 주요 증거가될 수 있는 디지털 포렌식에서는 매우 중요한 영역에 해당 합니다.

  • 파일 구조를 알게 되면 파일이 삭제되고 반대로 복구 할 수 있는 접근법을 생각할 수 있고, 실제로 구현가능하기 때문에 대부분의 포렌식 도구에는 삭제된 파일 복구 하는 기능등을 포함하고 있습니다.

  • 따라서 포렌식 관점에서 같이 고민해볼 만한 포인트들이 있을 경우 수시로 공유하도록 하겠습니다!

3줄 요약

  1. 파일시스템은 포렌식 관점에서 매우 중요하다!

  2. 그런데 파일시스템은 분석해야할 양이 매우 많다.

  3. 따라서 디지털 포렌식 친해지기에서는 가장 만만한 것부터 제대로 친해져보자!

Previous3-3) 파티션 분석 도구 만들기(기초)Next4-1) 파일시스템 직접 만들어 보기

Last updated 5 months ago