[DigitalForensic] FAT 파일 시스템 (with FTK Imager)

0. 하드디스크의 구조

하드디스크의 물리적인 구조

- Sector: 하드디스크의 물리적인 최소 단위(512 bytes = 1 sector)

- Track: 섹터 단위의 모음, 원심 전체를 말한다.

- Track sector: 같은 구역에 있는 sector의 집합

- Cluster: sector 단위를 묶어 데이터의 입출력 단위를 정한다. 기본단위는 4,096 bytes로 8 sector이다.

 

 

1. FAT 파일시스템

FAT 파일 시스템의 4개의 영역

1. BPB: BIOS Parameter Block의 머리글자이며 흔히 boot sector 혹은 boot record라고 한다.  BPB안에 FAT에 대한 세부 정보가 들어 있으므로 이 정보를 가지고 다른 영역의 위치를 찾아낼 수 있다.

2. FAT: File Allocation Table의 약자이며 디렉터리와 파일들이 Data 영역의 어디에 위치하고 있는지 그 정보를 알기 위하여 사용
3. Root Directory: 최상위 디렉터리에 대한 정보
4. Data: 디렉터리와 파일들이 실재하는 영역

 

하드디스크를 C:, D: 드라이브로 나누듯이 여러 파티션으로 독립된 영역으로 나누어서 사용할 수도 있다.

여러 개의 파티션으로 나누게 될 경우 각각의 파티션의 시작 위치와 그 크기에 대한 정보를 SD 메모리 카드의 첫 번째 섹터안에 특정 위치에 기록해 놓아야 한다. 이러한 파티션 정보가 들어있는 첫번째 섹터를 MBR(Master Boot Record)이다.

Partition과 MBR

- Partition: 저장매체의 저장 공간을 논리적으로 분할한 것

--> 시스템은 부팅 과정에서 파티션의 크기, 위치 등을 파악하고 구동해야 한다.

- MBR: 분할된 파티션에서 각 파티션의 BR 영역을 관리하는 영역, 최대 4개까지의 파티션 정보 기록

--> 파티션 테이블(Partition Table): 드라이브의 기본적인 정보들이 저장되어 있다. 부팅 코드도 들어가 있음

--> boot record(=BR, 예약된 영역): 컴퓨터를 부팅시키는 프로세스로 각각의 드라이브마다 존재한다. FAT32에 대한 요약정보가 존재한다. 

 

 

2. FAT32의 논리적인 구조

 

 

2. FAT32 파일 시스템을 FTK Imager

예약 영역: 가장 앞쪽에 위치하고, 부트 레코드 저장 및 주요 항목 백업용으로 활용한다. FAT32는 32 섹터 할당한다.

-> Boot Sector, FSINFO, Boot Strap, More reserved sectors

 

 

 

FAT 영역

- 파일이나 디렉터리의 할당을 관리하고, 클러스터의 상태 값을 담고 있다.

- 4바이트를 FAT Entry라고 하며, 0번 1번은 저장 매체의 종류와 파티션 상태를 표현하므로 2번부터 데이터 영역의 클래스와 대응한다.

- FAT1과 FAT2는 같은 것이다.

 

 

데이터 영역

- 클러스터 단위로 사용하며, 파일의 디렉토리의 내용을 담고 있고 데이터 크기가 클 경우 여러 클러스터에 나누어서 담는다. 

- Directory Entry에 저장되는 내용은 자신에게 속한 파일과 자신의 하위 디렉터리에 대한 정보들이 저장되어 있다.

 

 

 

 

 

참고

embed-avr.tistory.com/152

FAT32 - MBR(Master Boot Record)