관리 메뉴

Jsecurity

FAT Root Directory 본문

포렌식/디지털 포렌식

FAT Root Directory

Great king 2019. 6. 14. 17:42

※ directory entry, clusters, FAT structure

 

 

EX) FAT structure 실습 

 

MBR 0~23

 

        부트코드 점프명령어 = EB 3C 90
        OEM Name = 6D 6B 64 6F 73 66 73 00 = mkdosfs
        Byte Per Sector = 00 02 -> 02 00 -> 512byte 
        Sector Per Cluster = 01
        01 00 -> 예약된 섹터수 00 01 -> 1개  
        02 -> FAT 영역의 수  2개
        Root Directory Entry 개수 = 00 02 -> 02 00 -> 512개
        볼륨 총 섹터수 = 00 78 -> 78 00 -> 30720개 
        F8 -> HDD (하드디스크 볼륨)
        77 00 -> 00 77 -> FAT 섹터수 119개

 

<중요>

Root Directory의 시작 섹터 = 예약된 섹터수 + FAT 섹터수 * FAT 영역의 수

->  239 = 1 + 119 * 2

 

 

# Root Directory

 

Root Directory

 

Entry #1 
-File Name: FILE1.DAT
-First Cluster: 2
-File Size: 512
-Cluster Chain: 2 -> EOF
-특이사항: 없음

Entry #2 
-File Name: FILE2.DAT
-First Cluster: 3
-File Size: 90 01 00 00 -> 00 00 01 90 -> 400
-Cluster Chain: 3 -> EOF
-특이사항: 없음

Entry #3 
-File Name: FILE3.DAT
-First Cluster: 4
-File Size: 84 03 00 00 -> 00 00 03 84 -> 900
-Cluster Chain: 4 -> 5 (next cluster) -> EOF
-특이사항: 없음

Entry #4
-File Name: FILE4.DAT
-First Cluster: 6
-File Size: 77 02 00 00 -> 00 00 02 77 -> 631
-Cluster Chain: 6 -> 8 -> EOF
-특이사항: 없음

Entry #5
-File Name: FILE5.DAT
-First Cluster: 7
-File Size: 00 02 00 00 -> 00 00 02 00 -> 512
-Cluster Chain: 7 -> 00 -> Free Cluster 결론: EOF
-특이사항: 삭제된파일 , 앞의문자 깨짐

Entry #6
-File Name: FILE6.DAT
-First Cluster: 9
-File Size: B6 02 00 00 -> 00 00 02 B6 -> 694
-Cluster Chain: 9 -> 11 -> EOF
-특이사항: 없음

Entry #7
-File Name: FILE7.DAT
-First Cluster: 10
-File Size: 00 02 00 00 -> 00 00 02 00 -> 512
-Cluster Chain: 10 -> EOF
-특이사항: 없음 

Entry #8
-File Name: SECOND
-First Cluster: 12
-File Size: 512
-Cluster Chain: 12 -> EOF
-특이사항: 없음

'포렌식 > 디지털 포렌식' 카테고리의 다른 글

NTFS Boot Record  (0) 2019.06.15
NTFS 파일시스템  (0) 2019.06.14
crypture 안티포렌식 Tool  (0) 2019.06.08
MBR (Master Boot Record)  (0) 2019.05.26
포렌식 관련 판례 '일심회' 사건  (0) 2019.04.20
Comments