이번 글은 FAT파일시스템의 데이터 영역을 알아보겠다.
FAT 파일시스템은 트리형태로 디렉터리를 표현한다. 최상위 트리인 루트디렉터리 그 밑으로 서브디렉터리와 파일 데이터들이 존재한다.
FAT12/16은 FAT 영역이 끝난 후 바로 루트 디렉터리가 온다.
FAT32 루트디렉터리는 FAT영역의 바로 뒤가 아닌 데이터 영역 어느 곳에도 올 수 있다. 하지만 특별히 설정하지 않는 한 FAT영역이 끝난 후 바로 온다. 만약 특별한 설정이 되어있다면 BPB의 루트디렉터리 오프셋 값을 확인해 위치를 찾을 수 있다.
루트 디렉터리
최상위 디렉터리로 우리가 탐색기로 루트(C:)를 클릭했을 경우 나타나는 폴더 및 파일의 정보를 담고 있다.
루트 디렉터리는 FAT 영역이 끝난 후 바로 뒤에 존재하므로 해당 위치는 예약된 영역 (부트 섹터)와 FAT 영역을 지나야 한다.
현재 섹터 즉 128섹터는 FAT 파일시스템의 부트섹터다. 루트 디렉터리는 FAT 영역 뒤에 오고 FAT 영역은 예약된 영역 뒤에 존재한다.
부트 섹터는 예약된 영역에 포함되어 부트 섹터에 예약된 영역의 섹터를 합하면 FAT 영역이 온다.
Boot Sector(80) + Reserved Area(10 1A) = FAT 영역
# BPB의 14-15바이트는 예약된 영역을 나타낸다.
FAT는 백업본이 있어 FAT 영역을 두 번 지나가야 한다.
# FAT 영역(4,250섹터) + (07 F3(FAT Size) * 2) => 4250 + 4070 = 8320
8320섹터 즉 루트디렉터리가 온다.
본 글은 보안프로젝트 디지털 포렌식 통합과정과 디지털 포렌식 도서들을 기반으로 정리한 글입니다.
출처
http://forensic.korea.ac.kr/DFWIKI/index.php/FAT
http://forensic-proof.com/archives/372
http://forensic-proof.com/archives/385
START UP 디스크 포렌식 (이별 지음)
파일 시스템 포렌식 분석 (주필환 옮김)
디지털 포렌식 개론 (이상진 지음)
