[DigitalForensic] 파일 시스템(FileSystem)

1. 파일 시스템

- 필요성: 저장 매체의 용량이 증가하면서 저장되는 파일의 수도 증가하였다. 원하는 파일을 읽고 쓰는 기본적인 기능부터 데이터를 검색, 저장, 관리하기 위한 규약이 필요하다.

- 정의: 디지털 데이터를 효과적으로 관리하기 위해 파일을 체계적으로 기록하는 방식으로, 사용자에게 파일과 디렉토리를 계층 구조로 데이터를 저장하도록 한다.

 

1.1 디지털 데이터

- 디지털 데이터는 이진수를 사용한다. 

- 이진수는 0과 1로 표현되며, 비트(bit)라고 한다. 많은 경우, 최소단위로 1byte(=8bit)를 사용한다.

- 메모리, 저장장치, 네트워크 통신 등 모든 디지털 시스템에서 이진수를 사용하여 데이터를 저장하고 처리한다.

  1) 물리적 단위 

    실제 물리적 장치(메모리 등)에서 사용되며, 최근에 저장 장치의 용량이 증가하면서 바이트(byte) 단위를 주로 사용

한다.

  2) 논리적 단위

    정보를 저장 및 처리하는데 사용하며, 특히 파일은 사용자가 동일 대상으로 처리하는 데이터의 묶음으로 응용 프로그램의 처리 단위이고 필드의 집합으로 포렌식 분석의 주요 대상이다.

 

2. 파일 시스템의 종류

1) Windows System

• FAT (File Allocation Table)

• NTFS (New Technology File System)

2) Unix/Linux

• UFS (Unix File System)

• Ext2/3/4 (Extended file system)

3) CD-ROM, Network

• ISO 9660 (International Organization for Standardization)

• NFS (Network File System)

 

3. FAT (File Allocation Table)

- Windows NT and 2000 이전 시스템에 사용되었다.

- 가장 바깥쪽 트랙에 기록한다.

- FAT 영역에는 파일명, 디렉토리명, 날짜, 시작 클러스터링 넘버, 파일속성이 있다.

- 종류로는 FAT12, FAT16, FAT32, VFAT

 

4. NTFS (New Tech File System)

- 최근 윈도우즈 운영체제에 사용한다.

- FAT 보다 강력하고 다양한 기능 제공한다.

- 예) 대용량 지원, 자동 오류 복구, 향상된 보안

 

5. 파일 시스템의 구조

- 파일 시스템의 추상적인 구조

- 사용자가 생성한 파일의 내용은 데이터 영역에 기록된다.

- 메타 영역에는 파일 관리를 위한 파일의 이름, 위치, 크기 정보 등이 기록된다.

- 파일 시스템에서 논리적 측면으로 클러스터, 파일, 폴더가 존재한다.

--> 클러스터: 파일 시스템에서 저장 장치에 데이터를 읽고 쓰는 논리적 기본 단위를 말한다. 여러개의 섹터가 모여 클러스터를 구성하고, NTFS에서는 기본적으로 4,096 bytes의 크기를 가진다.

클러스터

--> Slack space: 물리적인 구조와 논리적인 구조의 차이로 낭비되는 공간을 말한다. 파일에 할당된 공간이지만 사용되지 않는 낭비 공간이다. Slack space를 복구하여 증거를 수집할 수 있다.

 

 

 

 

__참고