FAT 32 Boot sector 실습
➢ OEM Name :
➢ Byte Per Sector :
➢ Sector Per Cluster :
➢ Reserved Sector Count :
➢ Num of FAT :
➢ Total Sector FAT32 :
➢ FAT Size :
➢ Root Directory Cluster :
➢ File System Info :
➢ BR Backup Sector :
FAT 32 FAT Entry Area Link list 실습
Cluster 1:
Cluster 2:
Cluster 3:
Cluster 4:
FAT 32 FAT Entry Area Link list 실습
(1) FAT32 시스템에서 디렉터리 엔트리의 제일 첫 번째 바이트가 ( ) 값을 갖는다면, 삭제된 데이터를 의미한다.
(2) FAT의 점프 부트 코드는 ( )이다.
(3) ( )은 파일 시스템의 첫 번째 섹터에 위치하며 BPB와 부트코드로 구성된다.
(4) FAT Entry 1번에서 운영체제가 올바르게 분리한 여부를 표시하기 위해 정상일 경우
( )를 1로 설정한다.
(5) FAT Entry는 자신의 번호와 일치하는 ( )와 1대 1로 대응한다.
(6) Window 95에서 ( ) 기능이 추가되어 파일 이름을 길게 쓸 수 있게 되었다.
(7) NTFS에서 ( )는 각 파일의 위치, 속성, 시간정보, 이름, 크기 등 메타 정보
를 저장하며, 1024 bytes 크기를 갖는다.
(8) NTFS에서 $DATA 속성 중에서 MFT Entry 안에 내용을 저장하지 못하는 경우에는
( ) 속성을 이용하여 데이터를 저장한다.
(9) NTFS는 데이터의 신뢰성을 높이기 위해 볼륨에 수행하는 모든 작업에 대해 ( ) 단위로 기록한다.
(10) MFT Entry 0번부터 ( )까지는 파일 시스템 생성시 자동 할당되는 예약된 영역이다.
(11) 정상적인 MFT Entry 의 시그니쳐는 FILE 이고 MFT Entry에 오류가 있다면 ( ) 이다.
(12) NTFS의 ( )을 통해 많은 데이터가 연속적으로 저장되는 경우에 효율적으로
표현할 수 있다.
(13) Encase 도구를 이용한 시그니쳐 분석의 결과 Encase에서 확장자는 알고 있지만, 시그
니쳐를 모르는 경우 ( )로 확인된다.
(14) Encase 도구를 이용하여 삭제된 파일을 검색하기 위해서는 ( ) 속성으로 컨
디션을 생성한다.
[정답]
➢ OEM Name : 0x302E35534F44534D
➢ Byte Per Sector : 0x200
➢ Sector Per Cluster : 0x8
➢ Reserved Sector Count : 0x101A
➢ Num of FAT : 0x2
➢ Total Sector FAT32 : 0x1FEB00
➢ FAT Size : 0x7F3
➢ Root Directory Cluster : 0x2
➢ File System Info : 0x1
➢ BR Backup Sector : 0x6
Cluster 1: 0x00000009 -> 0x0000000A -> 0x0000000B -> 0x00000011 -> 0x0FFFFFFF
Cluster 2: 0x00000004 -> 0x00000005 -> 0x00000007 -> 0x00000008 -> 0x0FFFFFFF
Cluster 3: 0x0000000D -> 0x0000000E -> 0x0FFFFFFF
Cluster 4: 0x00000010 -> 0x00000012 -> 0x00000013 -> 0x00000014 -> 0x00000015 -> 0x00000016 -> 0x0FFFFFFF
(1) FAT32 시스템에서 디렉터리 엔트리의 제일 첫 번째 바이트가 (0xE5) 값을 갖는다면, 삭제된 데이터를 의미한다.
(2) FAT의 점프 부트 코드는 (0xEB5890)이다.
(3) (VBR)은 파일 시스템의 첫 번째 섹터에 위치하며 BPB와 부트코드로 구성된다.
(4) FAT Entry 1번에서 운영체제가 올바르게 분리한 여부를 표시하기 위해 정상일 경우
(Clean Shutdown Bit Mask)를 1로 설정한다.
(5) FAT Entry는 자신의 번호와 일치하는 (클러스터)와 1대 1로 대응한다.
(6) Window 95에서 (LFN) 기능이 추가되어 파일 이름을 길게 쓸 수 있게 되었다.
(7) NTFS에서 (MFT Entry)는 각 파일의 위치, 속성, 시간정보, 이름, 크기 등 메타 정보
를 저장하며, 1024 bytes 크기를 갖는다.
(8) NTFS에서 $DATA 속성 중에서 MFT Entry 안에 내용을 저장하지 못하는 경우에는
(Non-Resident) 속성을 이용하여 데이터를 저장한다.
(9) NTFS는 데이터의 신뢰성을 높이기 위해 볼륨에 수행하는 모든 작업에 대해 (트랜잭
션) 단위로 기록한다.
(10) MFT Entry 0번부터 (23번)까지는 파일 시스템 생성시 자동 할당되는 예약된 영역이다.
(11) 정상적인 MFT Entry 의 시그니쳐는 FILE 이고 MFT Entry에 오류가 있다면 (BAAD) 이다.
(12) NTFS의 (클러스터 런)을 통해 많은 데이터가 연속적으로 저장되는 경우에 효율적으로
표현할 수 있다.
(13) Encase 도구를 이용한 시그니쳐 분석의 결과 Encase에서 확장자는 알고 있지만, 시그
니쳐를 모르는 경우 (Alias)로 확인된다.
(14) Encase 도구를 이용하여 삭제된 파일을 검색하기 위해서는 (Is Deleted) 속성으로 컨
디션을 생성한다.
'School > 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 FAT [FAT Area, Data Area] (0) | 2024.06.09 |
|---|---|
| 디지털 포렌식 FAT [Reserved Area] (0) | 2024.06.09 |
| 디지털 포렌식 연습 중간고사 과제 모음 (0) | 2024.04.19 |
| 디지털 포렌식 3주차 (0) | 2024.04.18 |
| 디지털 포렌식 5주차 (0) | 2024.04.18 |
