FAT Area
- 파일 할당 및 관리
- 구조체가 아닌 클러스터의 상태 값을 담고 잇는 공간의 연속된 형태
- FAT #1 영역 + FAT #2 영역(FAT #1의 백업 영역이다.)
FAT Entry
- 4 bytes 단위로 구성
- 한 섹터 당 128개의 FAT Entry 가 있다.
- FAT #1, FAT #2 총 2개이기 때문에 Number FATs는 2이다.
- FAT32의 경우 보통 클러스터를 2번 사용한다. Root Directory Cluster가 2.
- Reserved Sector Count는 예약된 영역의 섹터 수이다.(0x0416) = 1046
- FAT Size32는 FAT32에서 FAT 영역의 섹터 수를 나타낸다. (0x4DF5) = 19957
- 예약된 영역의 섹터 수인 1046번째 섹터를 가면 FAT #1을 확인할 수 있다.
- 그 다음 FAT 영역의 섹터 수인 19957를 기존 섹터에 더하면 FAT #2를 확인할 수 있다. (1046 + 19957 = 21003)
- 그 다음 FAT 영역의 섹터 수인 19957를 또 더하면 Data Area가 나오게 된다. (21003 + 19957 = 40960)
- 즉, 위와 같은 형태이다.
- FAT Entry는 자신의 번호와 일치하는 클러스터와 1대1로 대응한다.
- 클러스터의 상태 값을 저장한다.
FAT Entry 0번 Media Type
- Media Type을 저장한다.
- 하위 8bits를 Boot Sector의 Media 값과 동일한 값으로 저장.
FAT Entry 1번 Partition Stauts
- 파티션 상태 저장
- 최상위 2bits만 사용되고 나머지는 사용되지 않는다.
Data Area
- 볼륨에서 대부분의 영역을 차지함
- 데이터가 저장되는 영역
- 클러스터 단위로 접근
Directory Entry
- 루트 디렉토리는 32 bytes로 구성 (섹터당 16개)
- 이름의 첫 byte가 E5일 경우 삭제된 파일을 나타냄
Name
- 파일 이름, 디렉터리 이름
- 최대 8자리로 대문자만 가능 공백은 0x20으로 채움
Extension
- 확장자
- 디렉터리의 경우 확장자가 없기 때문에 0x20로 채움
Attribute
- Directory Entry 표시 용도
Reserved
- 예약 공간
Create Time tenths
- 파일 생성 시간(10분의 1초 단위)
Create Time
- 파일 생성 시간
Create Date
- 파일 생성 날짜
Last Accessed Date
- 파일에 읽기/쓰기 작업의 마지막 날짜
Starting Cluster Hi
- 파일의 첫 번째 클러스터 번호의 상위 2byte
Last Written Time
- 가장 최근에 파일을 수정한 시간
Last Written Date
- 가장 최근에파일을 수정한 날짜
Starting Cluster Low
- 파일의 첫 번째 클러스터 번호의 하위 2bytes
- 루트 클러스터 주소 + (Cluster Hi + Cluster Low - 2) * 8 = 실제 데이터 위치
File Size
- 해당 파일의 크기
LFN(Long File Name)
- 파일/폴더의 이름이 8byte를 초과할 경우 사용한다.
sequence Number
- LFN Entry의 정렬된 순번
- 6번째 비트가
- 0xE5는 삭제된 LFN 엔트리
728x90
반응형
'School > 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 FAT [Reserved Area] (0) | 2024.06.09 |
|---|---|
| 디지털 포렌식 연습문제 기말 (0) | 2024.06.08 |
| 디지털 포렌식 연습 중간고사 과제 모음 (0) | 2024.04.19 |
| 디지털 포렌식 3주차 (0) | 2024.04.18 |
| 디지털 포렌식 5주차 (0) | 2024.04.18 |
