목록전체 글 (63)
Piki's Play
이번에는 '서버' 볼륨의 파티션 구조를 살펴보도록 하자! FreeBSD, OpenBSD, NetBSD, 선 솔라리스, GPT 파티션에 대해 알아보자. 6.1 BSD 파티션 (이 절은 '도스파티션'에 대한 이해가 필요하다) -> 포렌식에서 FreeBSD, OpenBSD, NetBSD와 같은 BSD 유닉스서버 조사는 흔히 있는 일이다. 이 파티션의 구조체를 상세하게 기술해본다. 리눅스 시스템이 더 많이 존재하지만 BSD는 '도스기반 파티션'이다. - BSD 시스템들은 IA32 기반이므로 마이크로소프트 제품들과 같은 디스크에 존재할 수 있도록 설계되었다. BSD는 시작전에 접근 파티션을 선택할 수 있다. FreeBSD -> 도스, BSD파티션 시스템 선택 가능 OpenBSD, NetBSD -> BSD파티션만 ..
5.3 이동식 매체 -> 대다수 이동식매체 또한 파티션을 갖는다. 하드디스크와 사용하는 구조가 거의 같다. - 플로피디스크 단, FAT12로 포맷하는 플로피디스크 같은 경우에는 파티션이 존재하지 않는다. 플로피디스크 전체를 하나의 파티션으로 취급하기 때문이다. 그래서 플로피디스크를 이미지로 만들면 한 파일시스템으로 그 이미지를 바로 분석이 가능하다. - USB USB는 파티션이 있는것도 존재하고 없는것도 존재한다. - ZIP IOMEGA ZIP 디스크 같은 대용량 이동식매체는 파티션 테이블을 사용한다. 여기서 사용하는 파티션 테이블은 MAC, PC시스템에 따라 다르게 적용된다. PC에서 사용하는 디스크는 "도스기반 파티션"을 가지고 네번째 슬롯에는 하나의 파티션만 가진다. (도스기반에서 네번째 슬롯에 확..
5.2 애플파티션 (책은 10년전 내용임을 참고하자) -> MAC OS 는 UNIX기반 운영체제로서 사용자들이 늘고있다. (지금은 엄청 많아졌다) 매킨토시 시스템이 파일들을 전송하기위해 사용하는 디스크 이미지는 파티션 맵을 이용한다. 이 디스크 이미지 파일은 윈도우의 ZIP과 유닉스의 tar과 유사하다. 파티션에 파일시스템이 존재하고 그 안에 파일들이 저장된다. ▶ 전체 개요 -> 디스크 시작에 위치한 파티션 맵 구조체에서의 '애플파티션'을 설명하자. 펌웨어가 구조체를 처리하는 코드를 포함하기 때문에 맵은 부트코드를 포함하지 않는다. (펌웨어 : 하드웨어이면서 소프트웨어 기능도하는 하드웨어) - 파티션 맵의 첫 엔트리는 자기자신(맵)을 위한 엔트리로서 "맵이 가질수 있는 최대 크기"를 나타낸다. 애플 시..
여기서는 볼륨의 이론적인 설명과 개인사용자들이 사용하는 파티션 시스템들의 세부사항을 살펴보자! 도스, 애플, 이동식 매체 파티션의 동작과 구조를 분석하기로한다. (오늘은 도스만!) 5.1 도스파티션 (가장 흔하지만 가장 복잡한 분할 시스템이다) -> 사실 도스파티션은 소규모를 위해서 세상에 나왔다. 오랜기간 인텔 하드웨어에서 사용했으나 공식적인 명세가 존재하지는 않는다. 따라서 마이크로소프트에서는 이 '도스파티션'을 'MBR'(Master Boot Records)로 부른다. 나중에 MBR을 EFI(Extensible Firmware Interface), GPT(GUID Partition Table)와 비교해보도록하자. - 기본적인 디스크들이 MBR이나 GPT를 참조하고, 디스크의 파티션들은 MBR이나 G..
4.1 소개 보통 논리적 파티션을 나누고 이후 '드라이브', '볼륨' 몰록을 가진다. 이번장은 파티션에 할당되지 않은 섹터 분석시 유용하다. 4.2 배경 ▶ 볼륨 개념 두가지의 중요한 개념이 존재한다. 1. 여러개의 저장볼륨을 한개의 볼륨으로 조합 2. 한개의 저장볼륨을 여러개의 '파티션'으로 분할 ※ 볼륨(Volume) : OS나 응용프로그램이 데이터를 저장해 사용하도록 주소가 지정된 섹터들의 집합 -> 여기서 섹터들은 물리적으로 연속적일 필요는 없고 단지 존재함을 나타내주면 된다. (연속적인 섹터들의 집합= 하드디스크) ▶ 파티션의 전반적인 이론 (볼륨시스템의 개념중 하나) -> 볼륨안에 연속된 섹터들의 집합을 '파티션'이라고 부른다. 일반적인 파티션시스템은 한개 이상의 테이블을 보유한다. -> 이것..
일반적으로 데이터를 분석할때 동적분석보다 정적분석이 일반적이다. 또한 이번에 배울 데이터 수집은 "시스템 보전 단계"에서 수행된다. 3.1 소개 디지털 조사의 첫 단계는 디지털 범죄현장의 "보존"이라고 볼 수 있다. 또한 이 보존을 위해서 우리는 복사본을 만들어야 한다. ▶ 수집절차 원본디스크장치에 있는 데이터를 복사해서 복사본을 만드는 과정을 수집이라고 한다. 여기서 512바이트 부터 수천 바이트 단위로 복사가 이루어지고 데이터 묶음을 'Chunk'라고 부른다. ▶ 데이터 수집계층 Application File Volume Disk 앞에서 우리는 데이터의 계층을 살펴보았다. 그렇다면 데이터 수집은 어떤 계층 단위로 이루어질까? 1. '디스크 수준 데이터수집' : 디스크 수준으로 데이터를 수집하게 되면 ..