[디지털포렌식전문가 2급 필기] 2-1-3. 파일 시스템의 구조

계층형 디렉토리 구조 (트리 구조)

- 파일 시스템의 논리적 구조 중 루트 디렉토리 밑에 여러 개의 하부 디렉토리를 갖는 구조

연결리스트 기법

- 모든 자유 블록들을 함께 연결시켜 관리

슬랙 공간

- 램 슬랙 (섹터 슬랙) : 데이터가 디스크에 512바이트씩 기록되는 특성 때문에 발생하는 공간

- 파일 슬랙 (드라이브 슬랙) : 클러스터의 사용으로 인해 낭비되는 공간 중 램 슬랙을 제외한 나머지 부분을 나타내는 것

- 볼륨 슬랙 : 전체 볼륨의 크기와 할당된 파티션 크기의 차이로 인해 발생하는 공간

슬랙 공간 중 클러스터의 사용이 직접적인 생성요인

- 램 슬랙, 파일 슬랙, 파일 시스템 슬랙

램 슬랙

- 지정되는 파일 크기가 512바이트의 배수가 아닐 경우에 발생

MBR

- 윈도우 FAT 파일 시스템 중 OS를 로드하기 위하여 필요한 부팅 정보가 저장되어 있는 영역

- MBR은 운영체제가 어디에, 어떻게 위치하여 있는지를 식별하여 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보

- 파티션된 기억장치의 첫 번째 섹터인 512바이트의 시동 섹터

- MBR은 메모리에 적재될 운영체제가 저장되어 있는 파티션의 부트 섹터 레코드를 읽을 수 있는 프로그램을 포함

- 부트 섹터 레코드에는 다시 운영체제의 나머지 부분들을 메모리에 적재시키는 프로그램 보유

- 기본적인 구조는 처음 440바이트(최대 446바이트)는 부트코드 영역이고, 부트 코드의 주 역할은 파티션 테이블에서 부팅 가능한 파티션을 찾아 해당 파티션의 부트 섹터를 호출해주는 역할

- BR은 각 파티션의 첫 번째 섹터에 위치

- 해당 파티션에 OS가 설치되어 있다면 OS를 부팅하는 역할

- 단일 파티션을 사용하는 경우에는 BR이 MBR의 위치에 존재

- MS의 MBR은 부트 코드 영역과 파티션 테이블 영역으로 구분될 수 있다.

GPT (GUID Partition Table)

- GPT 헤더의 시그니처는 "EFI PART"

- 파티션 엔트리에서 해당 파티션의 시작 블록 주소는 8바이트

- 각 엔트리는 GUID 값을 보유

가용 공간 (Free Space) 관리방법

- 연결리스트 기법은 빈 블록이 한꺼번에 n개 필요한 경우 n번 디스크를 읽어야 하는 단점이 존재

- 카운팅 기법은 프로그램들이 많은 경우 연속된 여러 블록들을 할당하고 반환

- 그룹핑 기법은 여러 개의 가용 블록 주소를 찾는 데 용이한 장점 존재

디스크 주소를 지정하는 방식

- CHS는 실린더, 헤드, 섹터의 약어로 디스크의 물리적인 구조에 기반한 주소 지정 방식

- CHS 방식은 ATAT 표준과 BIOS의 지원 비트의 차이로 인해 최대 504MB까지만 지정이 가능

- LBA 방식은 디스크 0번 실린더 0번, 1번 세터의 첫 번째 블록으로 지정하는 방식