FAT 파일시스템 - Boot Sector

심야·2022년 12월 21일
Digital ForensicsFAT 파일 시스템
0

디지털 포렌식

목록 보기
6/23

FAT 구조

FAT.png

FAT 파일시스템은 예약영역, FAT영역, 데이터 영역으로 구성된다.

예약 영역

예약영엮.png

Boot Sector는 VBR(Volume Boot Record), BR(Boot Record) 라고도 불린다.
우선 Boot Sector와 VBR의 차이점을 설명하겠다.
볼륨의 가장 첫번째 1개의 섹터는 반드시 부트 섹터가 오게 된다. 그래서 VBR의 크기가 1섹터이면 부트섹터 == VBR이라고 할 수 있다. 하지만 VBR 크기가 1섹터보다 크다면 처음 1섹터는 부트섹터 뒷부분은 VBR이다.
즉 부트섹터는 VBR섹터에 종속된다. # 부트섹터 ⊂ VBR
본 글에선 부트섹터로 부르겠다.
BootSector.png

부트섹터는 예약영역의 첫번째 섹터에 위치한다.
부트섹터의 첫 36Byte는 FAT12/16과 FAT32가 같다. 이후에 오는 정보들은 구조가 다르다.

부트섹터구조.png

① Boot Code : 0 ~ 2 Byte
② BIOS Parameter Block : 3 ~ 89 Byte
③ Boot Code와 Error Message : 90 ~ 509 Byte
④ Signature : 510 ~ 511 Byte

첫번째 영역은 부트코드로 점프하라는 명령어다.
두번째 영역은 파일시스템 정보를 기록한다.
세번째 영역은 해당 파일시스템을 부팅하기 위한 부트코드가 존재하며 실행과정 중 에러가 발생할 경우 에러메시지가 출력된다. 부트 코드는 점프 명령에 의해 실행되는데 이때 BPB(BIOS Parameter Block) 정보를 참조하여 파일시스템을 부팅한다.

BIOS Parameter Block

BPS.png

BPB는 파일시스템 정보를 기록한다. 운영체제는 해당 정보를 참조해 데이터영역, FAT영역으로 이동한다. 아래 그림은 BIOS Parameter Block의 데이터구조를 설명한다.

FAT공통.png

FAT32.png

FAT12/16 의 BPB구조가 궁금하면 해당 링크를 참고하세요.
http://forensic-proof.com/archives/372

출처

본 글은 보안프로젝트 디지털포렌식 과정과 아래 글들을 참고했습니다.

http://forensic-proof.com/archives/372
http://forensic.korea.ac.kr/DFWIKI/index.php/%EA%B5%AC%EC%A1%B0%EB%B6%84%EC%84%9D/FAT
START UP 디스크포렌식 (이별 지음)
디지털 포렌식 기술 (노명선 외 다수 지음)
디지털 포렌식 개론 (이상진 지음)

profile
심야
하루하루 성실하게, 인생 전체는 되는대로.
이전 포스트

sharif CTF

다음 포스트

FAT 파일시스템 - 예약된 영역

0개의 댓글