디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장
  3. 4) 파일시스템 기초 분석

4-2) FAT32 분석

1. FAT 파일시스템

  • FAT(File Allocation Table)은 디스크 저장 매체의 파일 시스템으로, 마이크로소프트가 개발하여 다양한 운영 체제에서 사용되는 파일 시스템입니다. FAT 파일 시스템은 간단하고, 호환성이 높으며, 다양한 저장 장치에서 널리 사용됩니다.

FAT 에 대해서 설명 해줘! (Chat GPT 답변)

FAT 파일 시스템의 주요 특징과 역사, 버전에 대해 설명드리겠습니다.

주요 특징

  1. 파일 할당 테이블(FAT) 구조:

    • FAT 파일 시스템은 디스크의 시작 부분에 파일 할당 테이블이라는 특별한 영역을 유지합니다. 이 테이블은 파일의 클러스터 체인을 추적하여 파일이 디스크 상에서 어디에 저장되어 있는지 알려줍니다.

  2. 클러스터:

    • 디스크 공간은 클러스터라는 작은 블록으로 나뉘며, 각 클러스터는 고유 번호를 가집니다. 파일은 여러 클러스터에 걸쳐 저장될 수 있으며, FAT는 파일이 어떤 클러스터에 저장되어 있는지 추적합니다.

  3. 단순성:

    • FAT 파일 시스템은 매우 간단한 구조를 가지고 있어 구현이 용이합니다. 이로 인해 다양한 장치와 운영 체제에서 널리 사용됩니다.

  4. 호환성:

    • FAT 파일 시스템은 DOS, Windows, Linux, macOS 등을 포함한 거의 모든 주요 운영 체제에서 지원됩니다.

역사

  1. FAT12:

    • 1977년에 도입된 최초의 FAT 버전으로, 최대 32MB의 디스크를 지원하며, 각 파일은 최대 12비트로 주소 지정됩니다. 주로 플로피 디스크에 사용되었습니다.

  2. FAT16:

    • 1984년에 도입되었으며, 최대 2GB의 디스크를 지원합니다. 16비트 주소 체계를 사용하여 파일을 추적합니다. 초기 하드 디스크 드라이브에서 널리 사용되었습니다.

  3. FAT32:

    • 1996년에 도입되어, 최대 2TB의 디스크를 지원합니다. 32비트 주소 체계를 사용하여 더 큰 파일과 디스크를 처리할 수 있습니다. 현재는 USB 플래시 드라이브와 SD 카드 등에서 널리 사용됩니다.

FAT의 버전

  1. FAT12:

    • 클러스터 크기가 작고, 최대 디스크 용량이 32MB로 제한됩니다. 주로 플로피 디스크에서 사용됩니다.

  2. FAT16:

    • 최대 2GB의 디스크 용량을 지원하며, 클러스터 크기는 512바이트에서 64KB까지 다양합니다. 비교적 큰 디스크를 지원할 수 있으나, 클러스터 낭비가 발생할 수 있습니다.

  3. FAT32:

    • 최대 2TB의 디스크 용량을 지원하며, 클러스터 크기는 4KB에서 32KB까지 다양합니다. 더 큰 파일과 디스크를 지원할 수 있으며, FAT16의 클러스터 낭비 문제를 줄였습니다.

단점

  • 파일 크기 제한:

    • FAT32의 경우, 하나의 파일 크기가 최대 4GB로 제한됩니다. 이는 대용량 파일을 다룰 때 문제가 될 수 있습니다.

  • 보안 기능 부족:

    • FAT 파일 시스템은 현대 파일 시스템과 비교했을 때 보안 기능이 부족합니다. 예를 들어, 파일 권한 설정이나 암호화 기능이 없습니다.

  • 단편화:

    • 파일이 여러 클러스터에 걸쳐 저장되기 때문에 파일 단편화가 발생할 수 있으며, 이는 성능 저하로 이어질 수 있습니다.

결론

FAT 파일 시스템은 그 간단한 구조와 광범위한 호환성 덕분에 여전히 많은 장치에서 사용되고 있습니다. 그러나 최신 파일 시스템(FAT32, exFAT 등)에서는 더 큰 파일과 디스크를 지원하고, 보다 나은 성능과 효율성을 제공합니다. 현재는 USB 드라이브, 메모리 카드 등에서 여전히 많이 사용되며, 시스템 간 호환이 중요한 경우에 유용합니다.

  • 파일시스템의 이론적인 특징을 이론적으로만 알아보는 것 보다는 실제로 분석을 해서 실습을 해본 뒤 마지막에 특징에 대해서 다시 한번 확인해보도록 합시다.

  • 최근 파일의 용량이 커지면서 사용율을 줄어들고 있으나 파일시스템을 처음 공부하는 관점에서 매우 접근하기 좋은 FAT32부터 전체 분석하여 봅시다.

가능한 FAT32 영역 따로 따로 원하는 부분만 보기보다는 전체적으로 이어지는 부분이라 처음 실습 세팅부터 마지막까지 해보시는걸 추천드립니다. (그리 오래 걸리진 않을 것입니다.)

Previous4-1) 파일시스템 직접 만들어 보기Next4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)

Last updated 11 months ago