앞서 FAT 파일시스템에 대해 살펴보았다. 살펴본 내용을 토대로 다음의 내용을 모두 답할 수 있다면, 이론으로 다룰수 있는 거의 모든 내용을 이해했다고 본다. 한번 답을 보지 않고 다음 질문에 답해보자. 

  1. 디렉터리 엔트리의 크기는?
  2. 디렉터리 엔트리의 논리적인 크기는?
  3. FAT32의 경우 예약된 영역에서 사용되지 않는 섹터의 수는?
  4. 파티션 테이블에 기록될 수 있는 논리파티션의 최대수는?
  5. 파일 시간정보 위치는?
  6. 파일 확장자의 위치는?
  7. FAT32의 최대 표현가능한 클러스터 수는?
  8. FAT12의 예약된 영역 크기는?
  9. FAT16의 예약된 영역 크기는?
  10. 클러스터 크기 4K, 파일 크기 2K 일 경우 램슬랙과 드라이브 슬랙의 크기는?
  11. MBR 부트 코드의 역할은?
  12. 예약된 영역 부트 섹터의 부트 코드 역할은?
  13. 비할당 클러스터 판별법은?
  14. 삭제된 파일 및 디렉터리 판별법은?
  15. 덮어쓰여진 파일 판별법은?
  16. 파일 할당 시 변화는?
  17. 파일 삭제 시 변화는?
  18. 파일 이동 시 변화는?

 

1) 32 bytes
2) 0 byte
3) 32 – 6 (1,2,3,6,7,8) = 26
4) 3개 (주파티션 1개 + 논리파티션 3)
5) 디렉터리 엔트리(create time, create date, last accessed date, last written time, last written date)
6) 디렉터리엔트리
7) 2^28 – 12
8) 1 sector
9) 1 sector
10) RAM Slack = 0, Drive Slack = 2K
11) 파티션 테이블을 검사하여 부팅 가능한 파티션이 있을 경우, 해당 파티션의 부트 섹터로 점프
12) 운영체제를 로드하기 위한 초기 작업(윈도우의 경우 NTLDR 로드)
13) FAT 테이블에서 0×00 값을 가지는 클러스터들
14) 디렉터리 엔트리의 첫 바이트가 0xE5 값을 가지는 파일 및 디렉터리
15) 삭제된 파일이 할당하고 있던 FAT 테이블의 값이 0×00이 아닌 경우

Tagged with:
 
  • 심규남

    항상 좋은글 감사합니다.문제를 풀고나서 확인을 해보고싶은대..
    혹시 답이 어디에 있습니까? 확인을 해보고 싶습니다.ㅎㅎ

    • http://forensic-proof.com Proneer

      으흠…. 답은 흰색으로 써 두었는데 펌 방지때문에 작동을 안하는군요.. 오늘 새벽에 올릴게요.