Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Tags
- SQLMap
- node.js
- 침해사고
- forensic
- exploit
- ATT&CK
- PetitPotam
- #whitespace #
- 정보보안
- #C언어 #연산자
- software
- Index
- AD
- error 583066
- sql인젝션
- 프론트엔드개발자
- elk stack
- pwnable
- windows
- 랜섬웨어
- filesystem
- wargame
- Threat Intelligence
- elasticsearch
- 백엔드개발자
- 시스템해킹
- Mitre
- 가이드라인
- rce
- Credential Access
Archives
- Today
- Total
Plit00's Story
[Windows FileSystem] - (1) 본문
- MBR : 디스크 부팅 영역
- GBT : GPT 파티션은 2.2TB 이상 하드디스크를 단독 사용할 수 있다.(최대 128개까지 파티션을 나눔)
UEFI는 그래픽 인터페이스를 제공해 마우스로 BIOS 설정을 변경할 수 있다. - VBR: 볼륨 영역
- 파일 시스템은 데이터 구조체를 해석하는 것
- Big-Endian : 첫번째 저장 바이트를 최상위 바이트에 저장
- Littile-Endian : 첫번째 저장 바이트를 최하위 바이트에 저장
파일 시스템
특정 디스크 볼륨을 효율적으로 관리(읽기/쓰기)하기 위한 시스템
NTFS 분석 = MFT 분석
LBA 0 ⇒ Sector 1 ⇒ 512byte Sector 1 ⇒ Boot code(446byte) + Partition Table(16byte*4개) 64byte + Signatue(2byte)
- ROM(비휘발성 메모리) < = > RAM(휘발성 메모리)
- LBA(주소 지정 방식) <=> CHS
- UEFI BIOS(GPT 파티션 형식) <=> Legacy BIOS(MBR 파티션 형식) [diskmgmt.msc]
컴퓨터의 파일 시스템 유형을 확인할때는 chksdk /L을 이용해 알 수 있다.
- 삭제된 파일에 대한 추적가능
- Resident 유형의 파일은 데이터 확인 가능하다
- Non-Resident 유형의 파일은 데이터가 작성된 클러스터의 위치가 확인 가능하다
- 임의의 파일 및 디렉터리에 대한 행위(생성/삭제/수정/MFT 레코드 수정 등) 이력 추적이 가능하다
'Security > Forensic' 카테고리의 다른 글
[Windows FileSystem] - $LogFile, $MFT, $J 분석(3) (0) | 2023.02.09 |
---|---|
[Windows FileSystem] - $LogFile, $MFT, $J 분석(2) (0) | 2023.02.09 |
[Mac OS] - Architecture (1) | 2023.02.06 |
[Windows Artifact] - Shortcut(.*LNK) (0) | 2023.02.05 |
[Windows] - LSASS Memory Dump (0) | 2022.05.15 |
Comments