DIGITAL FORENSICS File System DAY 2 JAEIL PARK
- Slides: 26
DIGITAL FORENSICS File System DAY 2 JAEIL PARK| Lock. Down
-1 Presenter Profile NAME : JAEIL PARK YEARS: 2015, 19 yearsold → 2016, 20 yearsold INTEREST : Cyber Forensics(D. F. ), Security, Hacking …. MAIL : crackme 7787@gmail. com BLOG : www. eniac-security. cox. kr OR blog. naver. com/koddos 4 SNS : www. facebook. com/lockdownpje ====== TEAMS====== Lock. Down (Hacking Security Research and Information security expert group DMA (Digital Media Analysis)
02 FAT Layout ※ 점선 : 가변적이다. ◆ FAT 16 Layout B R Reserved FAT #1 FAT #2 Root Directory Data Area ◆ FAT 32 Layout B R Reserved FAT #1 FAT #2 Root Directory Data Area
03 FAT 32 Detail Layout ◆ FAT 32 Layout B R Reserved FAT #1 FAT #2 Root Directory ◆ Boot Record 1. 볼륨의 첫 번째 섹터(512 Byte) 2. Windows를 부팅시키기 위한 코드와 FAT 설정 값들이 있음. 3. FAT 16과 FAT 32는 약간의 차이가 있다. 4. Boot Record가 손상되면 Windows는 해당 볼륨을 인식할 수 없음. Data Area
03 FAT 32 Detail Layout ◆ FAT 32 Layout B R Reserved FAT #1 ◆ Reserved 1. FAT 16인 경우 1 Sector를 예약 2. FAT 32인 경우 32 Sectors예약 FAT #2 Root Directory Data Area
03 FAT 32 Detail Layout ◆ FAT 32 Layout B R Reserved FAT #1 FAT #2 Root Directory Data Area ◆ Root Directory 1. FAT 16인 경우 FAT #2뒤에 바로 위치한다. 2. FAT 32인 경우 Data Area안에만 있으면 어디든 위치할 수 있다. 3. Boot Record영역에 Root Directory 의 위치 정보가 담겨있다. 4. FAT 32또한 FAT 16처럼 대부분 FAT #2뒤에 Root Directory 를 위치 시키지만 가변적 위치이다.
03 FAT 32 Detail Layout ◆ FAT 32 Layout B R Reserved FAT #1 FAT #2 Root Directory ◆ Data Area 1. Root Directory 를 포함하는 영역이다. 2. 실제 Directory, File등의 데이터가 존재하는 곳이다. 3. Cluster단위로 접근이 가능하다. Data Area
04 FAT 32 Boot Record Example
05 FAT 32 Boot Record Offset 1
05 FAT 32 Boot Record Offset 2
05 FAT 32 Boot Record Offset 3
05 FAT 32 Boot Record Offset 3
05 FAT 32 Boot Record Offset 4
05 FAT 32 Boot Record Offset 5
05 FAT 32 Boot Record Offset 6
05 FAT 32 Boot Record Offset 7
05 FAT 32 Boot Record Offset 8
06 FAT 32 Detail Reserved Area ◆ 용도 ◇ FAT 16 : 사용하지 않음. ◇ FAT 32 ▶ 첫 번째 섹터 (0 Sector) Boot Record ▶ 두 번째 섹터 (1 Sector) File System Information 구조체 ▶ 일곱 번째 섹터 (6 Sector) Boot Record 를 백업 (Offset 6 Sector) BR Reserved FAT #1 FAT #2 Root Directory Data Area
07 FAT 32 Table ◆ FAT Area ◇ FAT File System에서 각 Cluster의 상태 값을 갖고 있는 연속된 공간이다. ◇ 각 Entry 는 FAT 16은 2 Byte, FAT 32 는 4 Byte로 구성되며 각각의 Cluster와 매칭된다. ▶ Entry 0 : Media Type , Entry 1 : Partition State, Entry 2~ : Data Cluster - 다음 Cluster의 번호를 담고 있음, 0 x 0 FFFFFFF는 EOC (End Of Cluster) 를 의미
07 FAT 32 Table Detail Media. Type Partition State Cluster 2 Cluster 3 Cluster 4 Cluster 5 Cluster 6 Cluster 7 Cluster 8 Cluster 9 Cluster 10 Cluster 11 Cluster 12 Cluster 13 Cluster 14 Cluster 15 …. . ◆ Media Type ◇ HDD인 경우 F 8 FF FF 0 F ◆ Partition State ◇ 평상시엔 FF FF ◆ Cluster 2 ◇ Root Directory 의 Cluster ◆ Cluster 3 ~ ? ◇ 다른 Data 들의 할당 Cluster
08 FAT 32 Table Entry ◆ 각 4 Byte로 구성 ◆ FAT 32 Entry의 상태 값 FAT 32 Description 0 x? 0000000 빈 Cluster 0 x? 0000001 Reserved Cluster 0 x? 0000002 ~ 0 x? FFFFFEF 0 x? FFFFFF 0 ~ 0 x? FFFFFF 6 사용중인 Cluster를 나타냄 (각 값은 다음 Cluster의 번호) Reserved Cluster 0 x? FFFFFF 7 Bad Cluster (Bad Sector 를 포함하는 Cluster의 의미) 0 x? FFFFFF 8 ~ 0 x? FFFFFFF End Of. Cluster (EOC, 데이터의 끝을 의미)
09 Recovery Training File : FS_Day 2_Traning_Disk_1. vmdk 현재 배포한 VMware이미지를 이용하여 부팅하고 해당 시스템에 동봉된 HDD Volume을 추가 후 다음 내용을 찾아 기술하시오. 1) 섹터당 바이트 크기 2) 섹터당 클러스터 크기 3) FAT 개수 4) Volume의 크기 (용량) 5) Boot Record Backup 위치 6) Volume Label 512 Byte 8 Byte If you want to see 2개 the correct answer, please 5 GB DELETE me!! 2054 Sector Hello_World
THANK YOU File System DAY 2 ⒸCopyright. 2015 by JAIL PARK All Page content is property. JAEIL of PARK