# 파일시스템의 개념
파일시스템 이란, 파일의 이름을 정하고 저장, 검색을 위해서 논리적으로 어디에 위치 시켜야 하는지에 대한 방법을 구성한 시스템이다.
저장 매체의 공간이 증가 할수록 보관하는 파일의 수 또한 점점 증가하게 되어 별도의 관리 시스템이 필요하게 되었다. 그래서 개발된 것이 파일시스템
널부려져 있는 문서들을 캐비넷에 저장하고 해당 문서의 제목 첫글자를 테그로 사용해 검색이 가능하도록 하는 것과 같은 맥락이다.
파일시스템 종류에는 FAT16, FAT32, NTFS, ext2, ext3, ext4, HFS+ 등등 굉장히 다양하다.
파일시스템에 대해서 왜 알아야 하는 걸까?
디지털 포렌식에서 디스크 분석은 반드시 필요한 부분이다. 일측에서는 디스크 포렌식 = 디지털 포렌식 이라고 인식하는 경우도 있다. (물론 틀렸지만)
이렇게 커다란 부분을 차지하는 디스크 분석을 하려면 일단 구조를 알아야 한다. 구조를 알고 있어야 특정 레퍼런스(이름, 생성날짜 등)를 이용하여 필요한 증거들을 검색/수집하고 그것들을 바탕으로 분석을 할 것이다. 구조에 입각하여 정확하고 신속하게 분석을 수행하기 위해 파일시스템을 이해하고 있는 것이 꼭 필요하다.
그렇다면 윈도우, 리눅스, 맥OS 등등 각 운영체제들이 사용하는 파일시스템은 동일한가? 아니. 하지만 결국 파일을 보관하고 검색하기 위한 기능에는 차이가 없다.
운영체제 별로 지원하는 파일시스템의 종류가 다르기 때문에
이런 파일시스템을 할당된 불륨에 구축하는 작업을 포맷(Format) 이라고 한다. "포맷은 윈도우를 싹다 지우고 재설치하는 거 아닌가?" 라는 의문이 생길 수 있다..
파일시스템을 새로 구축하려면 안에 내용들을 다 지워버리기 때문에 틀린 말은 아니다. 포맷의 어원이 그렇다 이 말임.
# 파일시스템의 구조
파일시스템은 해당 파일에 대한 메타데이터 즉, 파일 데이터의 데이터가 저장된 영역과 실제 데이터가 기록된 영역 2가지로 구분된다.
메타(Meta)는 '~에 대해서' 라는 뜻의 접두어로 쓰이는데.. "메타인지 : 내가 안다고 생각하는 것을 안다" 뭐 이런식으로 쓰인다.
그런 의미에서 메타데이터도 데이터들에 대한 데이터 라고 볼 수 있다.
메타데이터 영역에는 파일이름, 파일위치, 파일크기, 파일유형 등의 정보들이 담겨 있다.
데이터 영역에는 해당 파일의 실제 데이터들이 담겨있다.
기본적인 구조는 "메타데이터 영역 / 데이터 영역" 두 가지를 구분하는 정도로 나눌 수 있지만 각 OS 별로 사용되는 파일시스템 종류에 따라 그 구조와 내용이 상이하므로, 자주 사용되는 FAT12/16/32, exFAT, NTFS, ext2/3/4, HFS, HFS+ 등의 내용은 필수적으로 숙지해야 한다.
# 참고 URL
http://forensic.korea.ac.kr/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC%EC%8B%9C%EC%8A%A4%ED%85%9C
https://en.wikipedia.org/wiki/File_system
# 참고 도서
<파일시스템 포렌식 분석> - 저자 : 브라이언 케리어
'IT 그리고 정보보안 > Knowledge base' 카테고리의 다른 글
FAT (File Allocation Table) 32 (0) | 2021.04.10 |
---|---|
FAT (File Allocation Table) 16 (0) | 2021.04.10 |
VBR (Volume Boot Record) (0) | 2021.04.10 |
GPT(GUID Partition Table) 디스크 _내용보강 예정 (0) | 2021.04.10 |
슬랙 공간 (Slack Space Area) (0) | 2021.04.10 |