디지털 포렌식 전문가 2급 필기 (파일시스템의 유형) 2

파일시스템의 변환함수 convert 함수를 이용한 변환 설명

- FAT16 또는 FAT32파일시스템을 NTFS로 변환시킬 수 있다
- NTFS는 다시 FAT16 와 FAT32 형식으로 되돌릴 수 없다

 

Ext4의 extent에 대한 설명으로 잘못된 것은?

- 파일에 할당된 블록정보의 리스트이다
- 시작블록의 위치와 연속된 블록의 개수로 표현된다
- inode에서는 최대 4개의 extent만 포함될 수 있다

대용량 파일을 지원하기 위해 3차 간접 블록포인터까지 지원한다 ( X )

 

HFS+ 파일시스템의 특징 ?

- Catalog File은 B-Tree로 구성되고 파일 및 디렉토리의 구조를 정보를 표현한다
- 볼륨 헤더의 복사본이 볼륨의 마지막 1024 바이트 앞쪽에 있다

 

NTFS에 대한 설명 중 틀린 것은?

- 다중 데이터 스트림을 지원한다
- 파일시스템 수준에서 압축을 지원한다
- 파일과 디렉토리를 표현하기 위해 MFT 엔트리 라는 자료구조를 제공한다

- 데이터의 신뢰성은 높이기 위해 Sparse 파일을 제공한다 ( X )

 

FAT32에서 파일을 삭제할 때, 일어나는 일이 아닌 것은?

- 삭제되는 파일의 디렉터리 엔트리의 첫번째 바이트가 0xE5로 바뀐다
- File Allocation Table에서 삭제하는 파일에 할당된 클러스터 정보가 모두 0으로 바뀐다
- 삭제되는 파일의 롱파일네임 엔트리의 첫 번째 바이트가 0xE5로 바뀐다

- 삭제되는 파일의 디렉터리 엔트리의 파일수정시각이 현재 시각으로 변경된다 ( X )

 

exFAT 파일시스템의 설명 중 틀린 것은 무엇인가?

- 가변형 섹터 크기를 지원한다
- 최대 255자의 파일 이름을 지원한다 
- 최대 32MB의 클러스터 크기를 지원한다

- 최대 4GB의 파일 크기를 지원한다 ( X )

 

exFAT 파일시스템에서 실제 파일 데이터가 존재하는 영역을 가리키는 용어는 무엇인가?

Cluster Heap

 

NTFS의 클러스터 런(Cluster Runs)에 대한 설명으로 잘못된 것은?

- 많은 데이터가 연속적으로 저장되는 경우에 효율적으로 표현할 수 있다
- 각 런은 시작 클러스터 번호와 클러스터 개수로 표현된다 
- Sparse 속성인 경우 런에 시작 클러스터 번호는 표시하지 않고 크기만 표현한다

- 각 런의 시작 클러스터로 VCN(Virtual Cluster Number)을 가지고 있다 ( X )

 

Ext4에서 파일을 삭제할 때 이루어지는 일이 아닌 것은?

- 삭제될 파일의 inode의 블럭할당 정보를 초기화 한다
- 삭제될 파일의 inode의 파일크기를 0으로 변경한다
- 블록비트맵에서 삭제될 파일에 할당된 블록의 위치에 해당하는 비트를 0으로 바꾼다

- 삭제될 파일의 디렉터리 엔트리의 엔트리 크기를 증가시킨다 ( X )

 

Ext4를 사용하는 안드로이드 휴대전화의 사용자 데이터 파티션을 획득하는 경우, 스마트폰을 정상 모드로 부팅할 때 마다 복사본의 해쉬값이 달라지는데, 그 이유는 파일시스템에서 부팅할 때마다 변경되는 부분이 있기 때문이다.
다음 중 스마트폰을 정상 부팅할 때, 변경되지 않는 부분은?

루트디렉터리를 나타내는 inode의 생성시각

 

Ext4파일시스템의 Ordered 모드 저널에 기록되는 내용이 아닌 것은?

- 수퍼블록
- inode
- 블록비트맵

- 파일데이터 ( X )

 

부팅이 안되는 안드로이드 휴대전화의 사용자 데이터 파티션을 획득하면 Ext4의 수퍼블록이 지워진 경우가 있다
이 경우에 수퍼블록을 복구하는 방법은 무엇인가?

다른 블록그룹에 백업되어 있는 수퍼블록을 찾거나, 저널파일에 존재하는 수퍼블록을 찾는다

 

Ext4에서 삭제된 파일의 정보와 내용을 복원하기 위해 하는 일이 아닌 것은?

- 저널에서 inode를 찾아본다
- 디렉터리 엔트리에서 삭제된 엔트리를 찾는다
- inode테이블에서 삭제된 inode를 찾는다

- 수퍼블록에서 마지막 마운트 시각을 확인한다 ( X )

 

리눅스에서 사용되는 Ext3, Ext4 파일 시스템에 대한 설명 중 틀린 것은?

- Ext3 이후부터는 갑작스런 시스템 장애 발생 시 복구를 위한 저널링 기능이 추가되었으며 이를 위한 별도의 파일이 존재한다
- Ext3 저널링과 관련하여 저널링 기능 향상을 위한 저널링 체크섬 기능이 존재한다
- Ext4 파일 시스템은 일관성을 높이며, 동시에 속도를 향상시키기 위해 선할당이라는 기법과 단편화의 방지를 위한 지연 할당 기법을 도입하였다

- Ext4 파일 시스템은 대용량 파일의 메타데이터 크기를 줄일 수 있는 방안으로 기존의 extent 기반 데이터 블록 대신 아이노드 기반 데이터 블록을 사용한다 ( X )

 

FAT 파일 시스템과 NTFS 파일 시스템에서의 파일 복구, 카빙에 대한 내용 중 옳지 않은 것은?

- 파일 시스템에 파일이 저장될 때 파일의 이름, 시간 정보, 크기 등의 메타데이터가 함께 기록되는데, FAT, NTFS 파일 시스템에서 윈도우즈의 파일 삭제 기능을 사용하여 파일을 삭제할 경우 실제 파일의 데이터는 삭제하지 않고 파일의 메타데이터의 특정 플래그만 변경시킨다
- 파일 카빙은 파일 시스템의 미할당 클러스터에서 삭제된 파일의 시그니처인 헤더 또는 푸터 등의 정보를 사용하여 파일을 복구하는 기법
- 파일 카빙은 램 슬랙, 파일 슬랙, 파일 시스템 슬랙, 볼륨 슬랙에 대해서도 수행할 수 있다

- 일반적으로 파일 복구는 메타데이터의 파일 삭제와 관련된 특정 플래그만 확인하고 해당 파일의 실제 데이터 영역을 복구하는 기법이며, 이러한 기법을 사용하면 삭제된 파일이 다른 데이터로 덮여 씌워졌더라도 완벽하게 복구할 수 있다 ( X )

 

다음 NTFS 파일시스템의 메타데이터 파일에 대한 설명 중 틀린 것은?

- $MFT : 가장 중요한 파일시스템 메타데이터 파일 중 하나로 MFT를 포함한다
- $MFTMirr : 부트 섹터나 $MFT 파일이 손상되면 MFT 엔트리의 복사본을 포함한다
- $LogFile : 메타데이터 트랜잭션을 기록하는 저널, 해당 파일을 분석함으로써 파일시스템 모든 트랜잭션 확인

- $Bitmap : 파일시스템의 부트 섹터를 포함하며 이 파일의 $DATA 속성은 시스템을 부팅할 때 필요하기 때문에 항상 파일시스템의 첫 번째 섹터에 위치한다 ( X )

 

FAT32 파일시스템에 대한 설명 중 틀린 것은?

- 크게 부트 레코드, 예약된 영역, FAT #1 영역 FAT #2 영역, 데이터 영역 5가지로 나뉜다
- FAT #1 영역은 클러스터들을 관리하는 테이블이 모여 있는 매우 중요한 공간으로 손상이 발생했을 때를 대비하여 백업본이 존재하며 이것이 FAT #2 영역이다
- Directory Entry에는 파일(또는 디렉토리)의 이름, 확장자, 생성/수정/접근 시각, 크기 등이 저장된다

- 긴 파일명은 Long Directory Entry를 사용하여 저장하며 해당 영역에는 파일명과 해당 파일의 속성 정보가 저장된다 ( X )

 

EXT4 파일시스템에 대한 설명으로 옳지 않은 것은?

- 파일데이터 할당 구조로 extent를 사용한다
- 파일의 크기보다 실제 할당된 크기가 작을 수 있다
- 안드로이드의 기본 파일시스템이다

- EXT4부터 저널링 기능이 추가되었다 ( X )

 

Qualcomm CPU기반의 피쳐폰에서 주로 사용된 EFS2파일시스템에 대한 설명

데이터 영역에는 데이터와 디렉터리 엔트리가 저장된다 

 

플레시 메모리 전용 파일시스템은?

YAFFS2

 

NAND 플래시 메모리에 대한 설명으로 옳지 않은 것은?

- SSD, SD card, eMMC, USB 메모리 카드에 사용된다.
- 읽기, 쓰기 동작 외에 지우기 동작이 필요하다
- 지우기 횟수가 제한되어 있어 이를 초과하면 해당 부분은 더 이상 데이터를 기록할 수 없다

- 지우기 동작의 최소단위는 페이지이다 ( X )

 

TRIM에 대한 설명으로 옳지 않은 것은?

- 운영체제에서 파일을 삭제하면 FTL에서 즉시 또는 일정 시간 후에 삭제된 파일이 속한 섹터의 물리적 페이지 대응정보를 삭제하는 것이다
- 운영체제가 TRIM을 적절한 시점에 호출하면 SSD의 성능이 좋아진다
- 사용하지 않은 페이지들을 모아서 블록단위로 지우는 가비지 컬렉션과 밀접한 관계가 있다

- HDD에서도 TRIM을 사용하면 성능은 좋아진다 ( X )

 

VFS(Virtual File System)에 대한 설명으로 옳지 않은 것은?

- 서로 다른 파일시스템에 대해 표준 인터페이스를 통해 입출력을 할 수 있게 해 주는 추상화 계층이다
- 사용자 프로세스는 마운트 된 실제 파일시스템에 대한 정보를 가질 필요가 없다
- VFS의 주요 공통 오브젝트는 superblock, inode, dentry, file이다

- 네트워크 파일시스템은 마운트 할 수 있다 ( X )

 

FTL(Flash Translation Layer)의 기능이 아닌 것은?

- 파일시스템의 논리적 섹터에 대한 플래시 메모리의 물리적 페이지 주소 변환
- Wear Leveling
- Garbage Collection을 포함한 블록 관리

- inode 테이블 관리 ( X )

 

Apple사의 Mac OS X와 iOS에서 사용되는 파일시스템으로 파일과 폴더 이름을 UTF-16으로 표현하고 저널링을 지원하는 시스템은 무엇인가?

HFS+

 

EXT(Extended File System) 파일 시스템의 특징이 아닌 것은 무엇인가?

- 시간 소인 정밀도 및 범위 향상
- 블록 할당 지연
- 파일 레벨 사전 할당 및 멀티 블록 할당 

- 상위 호환성 ( X )

 

UFS(Unix File System)의 사용자적 특징 중 틀린 것은?

- 시스템의 각 파일은 특정 사용자에게 소유되며, 원칙적으로는 해당 사용자만이 해당 파일에 대한 조작을 수행
- 특권이 있는 사용자는 예외적으로 파일시스템의 모든 파일에 대한 권한을 가진다
- 예외적 특권이 없는 입란 사용자들이 슈퍼 유저와 같은 특수권한을 통해 해당 파일에 접근할 수 있다

- UFS는 독립적 파일시스템이며 완전한 수요자 기반 파일접근 허가 메커니즘을 사용한다 ( X )

 

FTL(Flash Translation Layer)의 구조가 아닌 것은?

- Sector Translation
- Block Management
- Low Level Driver

- High Level Driver ( X )

 

UFS(Unix File System) 파일 시스템의 구조가 아닌 것은 무엇인가?

- 부트 블록
- 슈퍼 블록
- 실린더 그룹

- 아이노드 블록 ( X )