| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- wep
- WLAN
- 반사서버
- 5G
- 듀얼부팅
- Slim3
- WPA3
- 이커시
- shellcode
- airmon-ng
- 윈도우
- WPA-PSK
- NOR
- 무선랜
- airodump-ng
- cmd
- 디스크
- NAND
- 초시대
- sudo
- DDos
- 2021-3156
- DOS
- WPA1
- aireplay-ng
- 보안이 미래다
- 쉘코드
- aircrack-ng
- 디도스
- E14-20T6S04X00
- Today
- Total
대학생들을 위한 IT
FAT 32 (2) :: 이커시 본문
FAT 32
## FAT32 부트 레코드 구조
ㅁ Jump Boot Code
EB 58 90 : FAT 32
ㅁ OEM Name
MSDOS5.0
ㅁ Bytes Per Sector
0x200 = 512 (byte)
ㅁ Sector Per Cluster
0x10 = 16 (개)
ㅁ Reserved Sector Count
0x22 = 34
ㅁ FAT Count = 2
ㅁ RDE = 0
ㅁ Hidden Sector = 3F
ㅁ Total Sector = 01 3F E5 9A
ㅁ FAT SIZE = 27 3F
ㅁ Root Directory Cluster = 2
ㅁ File System Information = 1
ㅁ Boot Record Backup Sector = 6
ㅁ File System Type = FAT32
## FAT Entry
63 (00 00 00 3F, Starting LBA Address) + 34 (00 22, Reserved Sector Cluster) = 97
(부트 레코드 그림 참조)
FF FF FF 0F : 다음 클러스터에 내용이 없고 한 클러스터에 내용이 있다는 의미
## FAT SIZE
F3 27 00 00 = 10227 * 2 (FAT 1 이어서 FAT 2)
## Directory Entry
Root Directory (http://forensic-proof.com/archives/385)
Directory Entry 중 가장 먼저 나오는 부분이 Root Directory!
## Root Directory
Root Directory Cluster == 2 (0x02)
Sector Per Cluster == 16 (0x10)
RS == 34 (0x0022)
FAT Size 32 == 10227 (0x000027F3)
FAT Count == 2 (0x02)
루트 디렉터리 앞에 63 + 34 + 10227 + 10227 -1 == 20550
루트 디렉터리 시작 == 20551
(부트 레코드 그림 참조)
## LFN
LFN (8.3) - abcdefghi.txt
위의 32 Byte (2줄)는 전체 이름을 나타내고 아래 32 Byte는 짧은 이름으로 표시
처음 [41]로 시작, 앞에 4는 마지막임을 나타내고 뒤에 1은 첫 번째로 시작한다는 뜻
LFN (8글자이상) - abcdefghijklmnop.txt
[000A08F20 ~ 30] 부분은 짧은 이름을 표시
[000A08F00] 부분에 01로 시작해서 [000A08EE0] 부분에 42로 시작한다.
위 LFN (8.3)에서 말했듯이 문장이 길어서 4개의 행을 사용하는데 시작은 [01]로 시작해서 [42]로 끝나는 것을 확인 할 수 있다.
만약 3개의 행을 사용했다면 밑에 두행의 시작은 [01] 위 두행은 [02]로 표시되고 마지막 행은 [43]로 끝날 것이다.
SFN - abc.txt
## Data File
디렉터리 엔터리에 [Cluster High] 부분과 [Cluster Low] 부분을 합쳐서 데이터 파일 영역으로 찾아 들어갈 수 있다.
1) LFN (abcdefghi.txt)
[3,4]의 [Cluster High]항목과 [0B,0C]의[Cluster Low] 항목을 더하면 [00 00 00 03] 즉, 3번째 클러스터에 데이터가 있다는 뜻이다.
여기서 1,2 번째 클러스터는 사용하지 않는다고 했으니 3번째 클러스터가 첫번째 클러스터가 된다.
앞서 한 클러스터의 크기가 16섹터인 걸 알아냈으니, 현재 20551섹터에서 16섹터을 더한 20567 섹터에 데이터가 있을 것이다.
데이터내용
2) LFN (abcdefghijklmnop.txt)
여기선 4번째 클러스터에 데이터가 있다고 나온다.
역시 2를 뺴고, 2번쨰 클러스터에 데이터 있을 것이다. 20583 섹터로 가보자
데이터 내용
3) SFN (abc.txt)
여기선 5번쨰 클러스터에 데이터가 있다고 나온다. 바로 20551+(3*16) 섹터로 가보자
데이터 내용
마지막으로 그 내용을 실제로 확인해보고 포스팅을 마치겟다.
딱 들어맞는 데이터 내용들
FAT 32 첫번쨰 포스팅과 이어지는데, 한 눈에 볼 수 없어 답답할 수도 있다.
다음부터는 한 번에 보면서 확인할 수 있게끔 포스팅 하겠다.
질문 있다면 댓글로 남겨주시라.
'FORENSIC > 윈도우 파일구조' 카테고리의 다른 글
| FAT 32 :: 이커시 (0) | 2019.01.24 |
|---|
