디지털 포렌식 생존일지

Data Area 구조Data Area: Starting LBA Address(128번 섹터) + Reserved Sector Count(6,718개 섹터) + FAT Size 32(737개 섹터) * Number of FATs(2개) = 8,320번 섹터에 위치한다.Root Directory: 파일 파일명, 크기, 시간 정보, 저장된 클러스터 위치 등의 메타 정보를 확인할 수 있다.Data Area 시작 위치부터 위치한다.Data Area:실제 파일 데이터가 저장되는 장소 (FAT Area 클러스터 정보를 통해 연결) Data Area 분석MBR → Starting LBA Address: 80 00 00 00 → 리틀엔디안 변환 → 00 00 00 80 → 128번 섹터BPB → Reserved Sec..

FAT Area 구조FAT Area: Reserved Area → Boot Sector → BPB의 Reversed Sector Count(6,718 섹터) + Boot Sector 위치(128 섹터) + 6,846번 섹터에 위치한다.FAT Area #1:원본 FAT AreaReserved Area → Boot Sector → BPB의 FAT Size 32(737 섹터)로, 6,846번 섹터~7,582번 섹터에 위치한다.FAT Area #2:FAT Area #1의 백업 복사본FAT Area #1(6,846번 섹터~7,582번 섹터) 다음 섹터(7,582번 섹터)에서 시작되며, FAT #1과 동일하게 737 섹터의 크기를 가져, 7,583번 섹터~8,319번 섹터에 위치한다. FAT Area 분석FAT A..

Reserved Area 구조 Reserved Area: FAT File System의 0번 섹터~31번 섹터에 위치한다.Boot Sector (0번 섹터, 6번 섹터):Reserved Area의 0번 섹터에 위치한다.BPB(BIOS Parameter Block), Boot Code Error Message, Signature로 구성된다.파일 시스템 종류, 클러스터 크기, FAT Area 크기, Root Directory 위치 등이 저장된다. 6번 섹터에 백업 복사본을 저장한다. (일반적)FSINFO (1번 섹터, 7번 섹터):사용 가능한 클러스터 수, 사용 가능한 첫 번째 클러스터 위치 등을 저장한다.7번 섹터에 백업 복사본을 저장한다. (일반적)Boot Strap (2번 섹터, 8번 섹터): Boot..