[Forensic] 파일 시스템

1. 파일 시스템이란? 📁

---

파일 시스템이란 데이터를 쉽게 관리,저장,검색 할 수 있게 파일을 체계적으로 기록하는 방식이며, 디스크에 디렉토리를 계층 구조로 저장하고 사용자 및 응용 프로그램이 파일 형태로 데이터에 접근할 수 있도록 합니다. 

 

2. 파일 시스템의 종류 🚥

---

1. Windows계열🌞

• FAT32(File Allocation Table 32): 구형 파일 시스템 이지만 간단한 호환성 때문에 모든 기기에서 인식하고 사용할 수 있습니다. (FAT32 개별 파일 크기가 4GB를 초과할 수 없습니다.)
• exFAT(Extended File Allocation Table): FAT32의 단점을 보완하여 나온 파일 시스템입니다. 이는 FAT32와 같이 넒은 호환성을 갖추지만 NTFS처럼 대용량 파일을 지원합니다.
• NTFS(New Technology File System): windows 기본 파일 시스템입니다. 대용량 파일과 보안기능 을 제공합니다.

2. Linux/Unix계열🐧

• ext(Extended File System): 리눅스를 위한 최초의 1992년에 설계된 파일 시스템입니다. 최대 파일, 파티션 크기는 2GB이며, 파일명 길이 255자 입니다. 현재는 거의 사용되지 않습니다.
• ext2(Second Extended File System): ext의 한계를 극복하기 위해서 개발된 1993년에 설계된 파일 시스템입니다. 최대 파일 크기는 16GB~2TB입니다. 최대 파티션 크기는 4TB ~ 32TB입니다. 주요 특징에 블록 그룹 아키텍처, 아이노드 기반 파일 관리 등 있습니다. 플래시 기간 저장 장치에 적합한 파일 시스템으로 쓰기 회수를 최소화하고 성능을 향상시킬수있습니다. 반면의 ext2 단점으로는 데이터 블록 낭비가 있고, 저널링 기능이 없어 데이터 손상 위험이 증가 합니다.
• ext3(Third Extended File System): ext2에 저널링 기능을 추가시킨 2001년에 설계된 파일 시스템이다. 저널링 기능은 파일 시스템의 변경사항을 추척하기 위해서 만들어진 기능으로, 안정성을 향상 시키고 시스템 충동이나 정전으로 인한 파일 시스템 손상 가능성을 줄입니다.
• ext4(Fourth Extended File System): ext4는 ext3의 하위 호환 확장버전인 저널링 파일 시스템입니다. ext4는 windows, macOS 등 일부 운영체제에서도 지원됩니다. ext4는 저장용량 제한을 확장하고 성능을 향상시키는거에 목표록 했습니다. ext4는 4k(4096)블록 크기로 최대 1EB의 볼륨 크기와 푀대 16TB의 단일 파일 크기를 지원할 수 있습니다. 또한 해당 Block Mapping 방식이 아닌 Extents기능을 지원하고 ext3, ext2와 호환이 가능합니다. 그리고 데이터가 적시에 디스크로 플러시 될 수 있도록 보장하는 Delayed allocation기술을 사용하여 많은 양의 데이터를 한번에 효과적으로 할당할 수 있고, 하위 디렉토리 수에 제한이 없습니다. 반면에 보안삭제 파일 속성을 지원하지 않아 삭제 후 민감한 데이터가 파일 시스템 저널에 나타날 수 있습니다.
• xfs(high-performance 65-bit journaling file system): xfs는 1993년 Silicon Graphics, Inc 에서 개발된 64비트 저널링 파일 시스템 입니다. 이 xfs는 지연할당, 동적 inode, 대용량 에서 성능을 발휘하고 수백TB를 지원합니다. xfs는 대용량 파일 처리에 적합하지만, 성능이 좋지않아 작은 파일 작업은 좋지않습니다.
• btrfs(B-tree file system):  초기 Oracle에서 설계된 파일 시스템으로 드라이브 풀링, 스냅샷, 데이터 복구, 인-플레이스리사이징 등의 기능들 때문에 최고의 Linux파일시스템 중 하나입니다. 그리고 기존 데이터 영향을 주지 않으며, 데이터와 메타데이터 새로운 반복을 저장하는 copy-on-write방식을 사용합니다. 한장치에 블록이 다른 장치에 복사본을 갖도혹 하고 모든 데이터에 대해 CRC(Cyclic Redundancy check: 순환 중복 검사 라는 것으로 오류 검출 기법입니다.)를 유지합니다. 그리고 장칙가 작동하지 않으면 백업 체크섬에서 정보를 가져와서 누락된 데이터를 재구성합니다.

3. MacOs 계열🍎

• HFS+(Hirearchical File System): Mac OS Extended는 1998년 부터 현재까지 모든 Mac에서 사용되는 파일 시스템입니다. macOS High Sierra 에서는 모든 HDD와 SSHD 사용됩니다. 이전 버전의 mac에서는 기본으로 사용됩니다.
• APFS(Apple File System): APFS는 macOS High Sierra 와 함께 처음 출시하였습니다. SSD, 기타 플래시 저장장치에 최적화 되어있습니다. 그리고 HDD와 SSHD에서도 작동합니다. 암호와, 스냅샷, 무결성 들을 지원합니다.