분류 전체보기218 NTFS NTFS New Technology File System 파일 시스템의 한 종류로 FAT의 구조상 한계점을 개선하기 위해 개발되었다. (FAT은 나중에 따로 정리 예정) +) Windows NT 이상에서 사용 가능 구조 VBR Windows 부팅을 위한 기계어 코드와 NTFS 여러 설정 값들이 있다. 이 영역을 분석하면 볼륨의 크기, 클러스터의 크기, MFT 시작 주소의 정보를 얻을 수 있다. 운영체제가 NTFS를 인식하기 위한 시작점 (망가지면 인식 불가) MFT 볼륨에 존재하는 모든 파일, 디렉토리에 대한 정보를 가진 테이블 NTFS에서 가장 중요한 구조체 파일/디렉토리가 늘어날수록 MFT의 크기도 커진다.(하지만 한번 들어난 MFT는 파일이 줄어든다고 해서 줄어들진 않음) Data Area 파일과 .. 2021. 2. 6. 저장장치 구조 저장장치는 대략적으로 다음 그림으로 표현할 수 있다. 0. MBR Master Boot Record 시스템부팅 과정에서 운영체제의 커널 파일을 불러와 구동시키는 BR(Boot Record) 영역을 관리하는 영역 1. MBR Slack 먼저 Slack은 물리적인 구조와 논리적인 구조의 차이로 인해 발생하는 낭비 공간이다. 할당되지만 사용되지 않는 부분인데 이런 슬랙 공간은 정보를 은닉할 수 있기 때문에 포렌식 관점에서 유의해 관찰할 필요성이 있다. 2. VBR Volume Boot Record 부트 섹터와 추가적인 부트 코드가 저장되어 있다. 클러스터 키그 또는 포맷 소프트웨어에 따라 유동적인 크기를 가진다. 3. Volume Data 파일 시스템에 의 해 할당된 볼륨 데이터 메타 데이터와 파일 데이터로 .. 2021. 2. 6. MBR MBR Master Boot Record 운영체제가 어디에, 어떻게 위치해 있는지를 식별해 컴퓨터의 주기억장치에 적재될 수 있도록 하기 위한 정보로써 첫 번째 섹터에 존재한다. MBR은 Boot code와 Partition table에 대한 정보를 가지고 있다. Boot code 부팅과 관련된 코드를 담고 있는 영역 어떤 시스템이든 같은 부분 446byte Partition table 파티션 정보를 담고 있는 영역 총 4개까지의 파티션 정보를 저장 가능 64byte -> 한 파티션 당 16byte Signature MBR의 끝을 알리는 signature 55AA 존재 (2byte) 16바이트 파티션의 세부적인 데이터 구조 범위 설명 크기 0~0 Boot Flag 00 = 부팅 불가 80 = 부팅 가능 1.. 2021. 2. 6. 스테가노그래피란? 스테가노그래피는 이미지 파일에서 메시지를 숨기는 것 삽입과 변조 두 가지 방법 존재 1. 삽입 이미지에 데이터를 삽입하는 방법 파링의 끝인 푸터 시그니처 뒤 데이터는 무시되므로 그 곳에 데이터를 숨길 수 있음 푸터 말고 헤더에도 이미지에 영향을 주지 않는 부분이 존재하는데, 그곳에 데이터를 삽입해 숨길 수도 있음 2. 변조 LSB(Least Significat Bit) 스테가노그래피가 해당 최하위 비트인 LSB 변조하는 방법 - 주로 24 비트 이미지파일에 적용(jpg,bmp등) 24비트 (빨8 파8 초8)가 하나의 색을 표현하기 떄문에 실제 이미지에 영향을 준다고 해도 사람의 눈으로 알아챌 수 없다. 이미지에 색이 다양하개 사용되지 않고, 경계가 뚜렷하다면 hex값을 보고 값이 섞여있는 것을 알아낼 수.. 2021. 2. 3. 이전 1 ··· 31 32 33 34 35 36 37 ··· 55 다음 728x90
