For3nsic/Forensic

Encase - ๊ฐœ์š”

๐“›๐“พ๐“ฌ๐“ฎ๐“ฝ๐“ฎ_๐“ข๐“ฝ๐“ฎ๐“ต๐“ต๐“ช 2015. 10. 30.
728x90
๋ฐ˜์‘ํ˜•

little-endian - ์ฒซ๋ฒˆ์งธ ์ €์žฅ๋ฐ”์ดํŠธ์— ์ˆซ์ž์˜ ๊ฐ€์žฅ ํ•˜์œ„ ๋ฐ”์ดํŠธ๋ฅผ ์œ„์น˜ํ•œ๋‹ค.

- intel ๊ฐ™์€ IA32๊ธฐ๋ฐ˜ ์‹œ์Šคํ…œ์ด ์ฃผ๋กœ ์“ฐ๋Š” ์ €์žฅ ๋ฐฉ์‹

Ex)0xaabbccdd -> ddccbbaa


big-endian - ์ฒซ๋ฒˆ์งธ ์ €์žฅ๋ฐ”์ดํŠธ์— ์ˆซ์ž์˜ ๊ฐ€์žฅ ์ƒ์œ„ ๋ฐ”์ดํŠธ๋ฅผ ์œ„์น˜ํ•œ๋‹ค. 

- APPLE, UNIX ๊ณ„์—ด 

Ex) 0xaabbccdd -> aabbccdd


FAT(File Allocation Table)

- Directory Entry : ํŒŒ์ผ/ํด๋”์ด๋ฆ„, ์‹œ์ž‘ ํด๋Ÿฌ์Šคํ„ฐ์˜ ์ •๋ณด

- FAT : ํด๋Ÿฌ์Šคํ„ฐ ํ˜„์žฌ ์‚ฌ์šฉ ์—ฌ๋ถ€, ์‚ฌ์šฉ๊ฐ€๋Šฅ ํ•œ์ง€ ํ™•์ธ


NTFS(New Technology File System)

- $MFT : ํŒŒ์ผ/ํด๋” ์ด๋ฆ„, ์‹œ์ž‘ ํด๋Ÿฌ์Šคํ„ฐ์˜ ์ •๋ณด

- $BitMap : ํด๋Ÿฌ์Šคํ„ฐ ํ˜„์žฌ ์‚ฌ์šฉ ์—ฌ๋ถ€, ์‚ฌ์šฉ๊ฐ€๋Šฅํ•œ์ง€  ํ™•์ธ


Resident data 

- $MFT : 

1) 1,024 byte(400byte ์‚ฌ์šฉ, 600byte๋Š” ๋ฏธ์‚ฌ์šฉ)

2) ํŒŒ์ผ์˜ ํฌ๊ธฐ๊ฐ€ 600byte ์ดํ•˜์ผ ๊ฒฝ์šฐ MFT๋‚ด์— ์ €์žฅ๋จ

3) ์ตœ์ดˆ์— resident data ์˜€๋‹ค๊ฐ€ ํŒŒ์ผ์˜ ํฌ๊ธฐ๊ฐ€ ์ปค์ ธ์„œ $MFT ๋ฐ–์œผ๋กœ ๋‚˜์˜ค๋ฉด ํฌ๊ธฐ๊ฐ€ ์ž‘์•„์ ธ๋„ ๋‹ค์‹œ ๋“ค์–ด๊ฐ€์ง€ ๋ชปํ•จ


728x90
๋ฐ˜์‘ํ˜•

'For3nsic > Forensic ' ์นดํ…Œ๊ณ ๋ฆฌ์˜ ๋‹ค๋ฅธ ๊ธ€

Encase - ์‹ค์Šต 2  (0) 2015.10.30
Encase - ์‹ค์Šต 1  (0) 2015.10.30
Encase - MBR  (0) 2015.10.30
Encase  (0) 2015.10.29
Encase - 1  (0) 2015.10.29

๋Œ“๊ธ€