앞서 FAT 파일시스템에 대해 살펴보았다. 살펴본 내용을 토대로 다음의 내용을 모두 답할 수 있다면, 이론으로 다룰수 있는 거의 모든 내용을 이해했다고 본다. 한번 답을 보지 않고 다음 질문에 답해보자.
- 디렉터리 엔트리의 크기는?
- 디렉터리 엔트리의 논리적인 크기는?
- FAT32의 경우 예약된 영역에서 사용되지 않는 섹터의 수는?
- 파티션 테이블에 기록될 수 있는 논리파티션의 최대수는?
- 파일 시간정보 위치는?
- 파일 확장자의 위치는?
- FAT32의 최대 표현가능한 클러스터 수는?
- FAT12의 예약된 영역 크기는?
- FAT16의 예약된 영역 크기는?
- 클러스터 크기 4K, 파일 크기 2K 일 경우 램슬랙과 드라이브 슬랙의 크기는?
- MBR 부트 코드의 역할은?
- 예약된 영역 부트 섹터의 부트 코드 역할은?
- 비할당 클러스터 판별법은?
- 삭제된 파일 및 디렉터리 판별법은?
- 덮어쓰여진 파일 판별법은?
- 파일 할당 시 변화는?
- 파일 삭제 시 변화는?
- 파일 이동 시 변화는?
1) 32 bytes
2) 0 byte
3) 32 – 6 (1,2,3,6,7,8) = 26
4) 3개 (주파티션 1개 + 논리파티션 3)
5) 디렉터리 엔트리(create time, create date, last accessed date, last written time, last written date)
6) 디렉터리엔트리
7) 2^28 – 12
8) 1 sector
9) 1 sector
10) RAM Slack = 0, Drive Slack = 2K
11) 파티션 테이블을 검사하여 부팅 가능한 파티션이 있을 경우, 해당 파티션의 부트 섹터로 점프
12) 운영체제를 로드하기 위한 초기 작업(윈도우의 경우 NTLDR 로드)
13) FAT 테이블에서 0×00 값을 가지는 클러스터들
14) 디렉터리 엔트리의 첫 바이트가 0xE5 값을 가지는 파일 및 디렉터리
15) 삭제된 파일이 할당하고 있던 FAT 테이블의 값이 0×00이 아닌 경우
If you enjoyed this article, please consider sharing it!
-
심규남
-
http://forensic-proof.com Proneer
-
