PST0R

Learn And Share, Always be humble, Stacking the basics

1 분 소요

들어가며

디지털 포렌식은 범죄 현장의 디지털 증거를 수집, 분석, 보존하는 과학적 접근 방법이다. 이 과정에서 파일 시스템의 이해는 필수적이다. 파일 시스템은 컴퓨터 데이터 저장 장치에서 파일이나 디렉터리 구조를 관리하는 시스템을 의미한다. 본 글에서는 주로 사용되는 파일 시스템인 NTFS와 FAT32의 특성과 그 중요성에 대해 알아보려고 한다.

NTFS (New Technology File System)

NTFS의 출시 시기는 Microsoft Windows NT 3.1 버전과 함께 1993년에 처음 소개되었다.

특징으로는 다음과 같다.

  1. 보안: 사용자별로 파일과 폴더에 대한 접근 권한을 설정할 수 있다. 이는 디지털 포렌식에서 중요한 역할을 한다. 접근 기록과 권한 변경 이력을 통해 사용자의 행위를 추적할 수 있다.
  2. 로그 기능: NTFS는 변경 사항에 대한 로그를 유지한다. 이 로그는 데이터 복구나 시스템 복원, 포렌식 분석에 유용하게 사용된다.
  3. 대용량 파일 지원: NTFS는 큰 파일과 대용량 디스크를 지원한다. 따라서 현대의 대용량 저장 장치에서는 NTFS가 주로 사용된다.
  4. 압축: 디스크 공간을 절약하기 위해 파일 및 폴더 압축이 가능하다.

주로 사용되는 환경은 Windows 기반 PC, 서버, 및 대부분의 외부 저장 장치에서 주로 사용된다.

FAT32 (File Allocation Table 32)

FAT32의 출시 시기는 1996년에 Windows 95 OSR2와 함께 처음 소개되었다.

  1. 호환성: FAT32는 다양한 운영 체제와 호환된다. 이는 오래된 시스템에서의 포렌식 수사에 유용하게 활용될 수 있다.
  2. 단순한 구조: FAT32는 단순한 구조를 가지고 있어 복구 작업이 상대적으로 쉽다.
  3. 제한: 하나의 파일 크기는 최대 4GB까지만 지원한다. 또한, 8TB 이상의 저장 장치를 지원하지 않는다.

주로 사용되는 환경으로는 오래된 시스템, 일부 게임 콘솔, 일부 디지털 카메라, USB 플래시 드라이브 등에서 사용된다.

그래서 더 좋은 것은?

NTFS는 보안, 대용량 지원, 로그 기능 등의 고급 기능을 제공하기 때문에 현대의 PC 및 서버 환경에서는 FAT32보다 더 선호한다.

더 최신 기기에 들어가는 것은?

현대의 대부분의 Windows 기반 컴퓨터와 외부 저장 장치에는 NTFS가 주로 사용된다. 하지만 특정 장치나 환경에서는 FAT32의 단순성과 호환성이 요구될 수 있다.

최종적으로, 어떤 파일 시스템이 “더 좋다”고 할 수 없다. 사용 환경과 요구 사항에 따라 적절한 파일 시스템을 선택해야 한다.

마무리 하며

디지털 포렌식에서는 파일 시스템의 특성을 이해하여 증거의 흔적을 찾아낸다. 예를 들어, NTFS의 로그 기능을 통해 삭제된 파일이나 변경된 정보를 추적할 수 있다. 반면, FAT32는 오래된 장치에서 주로 사용되므로 이러한 장치의 데이터를 복구하거나 분석할 때 중요한 역할을 한다.

디지털 포렌식은 복잡한 과정을 포함하며, 이 과정에서 파일 시스템의 깊은 이해는 필수적이다. 각 파일 시스템의 특성과 작동 원리를 알고 있어야만 효과적인 증거 수집과 분석이 가능하다. 따라서, 디지털 포렌식 전문가는 NTFS, FAT32 등의 다양한 파일 시스템에 대한 깊은 지식을 가지고 있어야 한다.

맨 위로 올라가기

저의 글을 읽어 주셔서 감사합니다. 문제가 있으면 저의 메일로 연락 주시면 감사하겠습니다. 댓글과 피드백 또한 감사합니다.
Thank you for visiting my blog. If you have any problems, please contact me by e-mail. Thanks also for the comments and feedback.

태그: , ,

카테고리:

업데이트:

댓글남기기

참고