[디지털 포렌식] FAT32 File System-FAT Area 분석

FAT Area 구조

FAT Area: Reserved Area → Boot Sector → BPB의 Reversed Sector Count(6,718 섹터) + Boot Sector 위치(128 섹터) + 6,846번 섹터에 위치한다.

FAT Area #1:

• 원본 FAT Area
• Reserved Area → Boot Sector → BPB의 FAT Size 32(737 섹터)로, 6,846번 섹터~7,582번 섹터에 위치한다.

FAT Area #2:

• FAT Area #1의 백업 복사본
• FAT Area #1(6,846번 섹터~7,582번 섹터) 다음 섹터(7,582번 섹터)에서 시작되며, FAT #1과 동일하게 737 섹터의 크기를 가져, 7,583번 섹터~8,319번 섹터에 위치한다.

 

FAT Area 분석

FAT Area #1 (6,846번 섹터~7,582번 섹터)

FAT Entry Value	Information
0x?0 00 00 00	Free Cluster 사용되지 않은 클러스터(사용 가능)
0x?0 00 00 02~MAX	할당된 클러스터 (해당 값: 다음 클러스터 번호) (MAX: 최대 유효 클러스터 번호)
(MAX + 1)~0x?F FF FF F6	예약된 영역 (사용 X)
0x?F FF FF F7	Bad(결함) Cluster
0x?F FF FF F8~0x?F FF FF FE	예약된 영역 (사용 X) or 할당된 클러스터 (파일의 마지막 클러스터) (파일 끝 상태)
0x?F FF FF FF	할당된 클러스터 (파일의 마지막 클러스터) (파일 끝 상태)

• 0번 클러스터 (Media Type): F8 FF FF 0F → 리틀엔디안 변환 → 0F FF FF F8 → 고정 디스크 (F8: 고정 디스크, F0: 플로피 디스크)
• 1번 클러스터 (Partition State): FF FF FF FF → 리틀엔디안 변환 → FF FF FF FF → 예약된 클러스터 (사용 X)
• 2번 클러스터~8번 클러스터: FF FF FF 0F → 리틀엔디안 변환 → 0F FF FF FF → 파일의 끝 상태

예를 들어, 3번 클러스터의 FAT Entry가 0x?0000004라면 FAT Entry는 4번 클러스터를 가리키고, 4번 클러스터의 FAT Entry가 0x?0000005라면 FAT Entry는 5번 클러스터를 가리킨다. 5번 클러스터의 FAT Entry가 0x0FFFFFFF라면 마지막 클러스터가 된다.

즉, 체인 형태로 클러스터를 관리하며, 하나의 파일이 여러 클라스터에 나눠 저장될 수 있다는 것을 확인할 수 있다. 

 

FAT Area #2 (7,583번 섹터~8,319번 섹터)

FAT Area #1의 백업 복사본으로 동일하다.

FAT Area #2 마지막 섹터인 8,319번 섹터 다음 섹터인 8,320번 섹터에서부터 Data Area의 Root Directory가 시작된다.