| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- 공군
- 파일 시그니처
- MITM
- NOX
- 비트플레인
- 디지털 포렌식
- 포렌식
- 섹터
- 디지털 포렌식 5대원칙
- 헤더 시그니처
- CTF
- cluster
- Digital Forensics
- 슬랙공간
- Burp suite
- 푸터 시그니처
- 정보보호병
- 아티팩트
- 클러스터
- Sector
- forensics
- forensic
- 스테가노그래피
- Today
- Total
포렌식하는4과
[디지털 포렌식] 섹터와 클러스터 본문
파일 시스템 관련 글 작성 전에 우선 저장장치에 관한 이야기를 살짝 하고 넘어가겠습니다.
1. 섹터와 클러스터(Sector, Cluster)
-디스크에서는 파일을 저장할 때 물리적 최소 단위인 섹터, 논리적 단위인 클러스터를 이용합니다.
섹터는 파일이 실제로 저장되는 최소의 단위로 기본 단위 512byte 크기로 읽기, 쓰기, 삭제등의 작업이 이루어 집니다.
하지만 512byte는 너무 작은 단위라 섹터 단위로 파일을 입출력하면 효율이 떨어집니다. 예를 들어 5000byte의 파일을 읽는다면 총 10번의 입출력을 수행해야 하기에 효율이 떨어집니다.
때문에 이 수행과정을 줄이기 위해 여러개의 섹터를 묶어 수행하게되는데 이때 클러스터라는 단위가 이용됩니다.
1클러스터에 8개의 섹터가 할당(4096byte, 약 4kb정도)되고 이는 기본 입출력 단위가 됩니다.(사용자가 설정할 수 있지만 보통 4kb로 설정됩니다.)
아래의 사진을 보면 해당 파일의 크기는 2.12kb이고 할당 크기가 4.00kb 인것을 볼 수 있습니다.
파일을 저장하기 위해 1클러스터를 할당한 것입니다.
2. 슬랙공간(Slack Space)
-위 사진에서 볼 수 있듯 고정적인 단위로 파일을 관리하면 당연히 남는 공간이 생길수밖에 없습니다.
할당 크기가 4kb이지만 파일 크기는 2.12kb입니다. 이때 생기는 빈 공간을 슬랙 공간이라 합니다.
램 슬랙
-램 슬랙은 최소단위인 섹터로 저장이 되는데 그 섹터의 남은 나머지 공간을 의미합니다. 예를 들어 612byte의 파일을 저장한다면 2개의 섹터를 할당해야합니다.(1섹터가 512byte여서) 이때 100byte가 초과되어 2번째 섹터에 이어서 저장되는데 그러면 400byte의 공간이 남게됩니다. 이 공간을 램 슬랙 이라고 합니다.
드라이브 슬랙
-클러스터 단위로 봤을 때 생기는 빈 공간을 의미합니다.
파일 슬랙
-램+드라이브 슬랙을 합친 것을 의미합니다.
파일시스템 슬랙공간
-파일시스템에 의해 디스크가 클러스터 단위로 나뉘게 되는데 이때 생기는 빈 공간을 의미합니다.
볼륨 슬랙
-디스크를 파티션 단위로 나누었을 때 생기는 빈공간 입니다.
이 슬랙공간은 사용하지 않는 영역이기에 충분히 데이터, 악성코드 은닉 용도로 쓰일 수 있습니다.
파일 시스템을 이해하기 위한 배경지식임과 동시에 섹터, 클러스터, 슬랙의 개념은 포렌식 관점에서 보았을 때 꽤나 중요하다고 할 수 있습니다.
'보안 > Forensics' 카테고리의 다른 글
| [디지털 포렌식] 파일 확장자, 스테가노그래피 (0) | 2024.06.18 |
|---|---|
| [디지털 포렌식] 디지털 포렌식 기초 (1) | 2023.12.20 |