해결된 질문
작성
·
68
1
안녕하세요 선생님 이번에 다시 시나리오를 풀어보면서 한 가지 궁금한 점이 있어서 질문을 드립니다.
8번문제의 해당 볼륨의 총 섹터 수를 구하는 것에 대한 것입니다.
제가 알고 있기로는 볼륨과 파티션의 차이는 파일시스템이 있는 파티션을 볼륨이라고 부르는 것으로 인지를 하고 있습니다.
그래서 저는 OS[NTFS]를 볼륨으로 인지하고 "총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)"으로 구하려고 해서 (786,431 + 456,456) * (4096 / 512)를 해서 구하려고 했지만 답은 Partition 1을 클릭했을 때 나온 섹터 카운트인 6,291,456이었어서 이게 왜 다른걸까 생각을 해보았을 때
볼륨 자체가 파일시스템이 있는 "파티션"이기 때문에 Partition 1의 총 섹터 수를 쓰신 것인지 궁금합니다.
위 내용이 만약 맞다면 OS[NTFS]에 있는 내용은 무엇을 의미하고 왜 총 섹터 수가 다르게 되는지 궁금합니다.
긴 글 읽어주셔서 감사드리고 지식 전수를 해주셔서 감사합니다.
답변 2
0
안녕하세요 jeb the sheep님!
답변이 조금 늦었습니다. 최대한 24시간 내에 답변 드리려고 노력하는데 거의 꽉 채우고 답변을 드리네요
오늘 도저히 시간을 낼수가 없어서 이제야 드리는 점 이해해주세요 ㅜ_ㅜ
시나리오 3, 문제 8번의 해당 볼륨의 총섹터수에 대해서 궁금하신거죠?
설명드리기에 앞서서, 볼륨과 파티션에 대한 정확한 이해가 조금 필요한데,
제가 강의에서도 몇 번 말씀드린적 있지만 보통은 파티션=볼륨 이런식으로 같은 느낌으로 혼용되어 사용되는게 현실입니다.
물론 둘의 차이가 있긴 하지만요.
이 두 가지 개념을 문장 한 두 줄로 딱 정의해서 설명을 드릴수 있으면 좋겠지만,
사실 처음에는 이해하기가 꽤 어려운 개념입니다.
그래서 제가 강의에서는 두 개념이 다르지만, 적어도 지금 시작하는 이 단계에서는 파티션=볼륨 그렇게 생각하고 접근하기로 약속하고 후에 조금 더 포렌식에 대해 조금씩 알아가신 후에 그 개념을 정확히 알아보실것을 권해드렸거든요.
우선 이 부분은 시간이 된다면 조금 어렵더라도 정확한 개념을 이해할수 있도록 관련 영상을 준비해보도록 하겠습니다.
질문주신 부분에 대해서 자세히 보면, 헷갈리시는 가장 큰 이유는
볼륨의 총 섹터수를 구하라, 파티션의 총 섹터수를 구하라 처럼 볼륨과 파티션이라는 말때문이지 않을까 싶습니다. 우선 볼륨과 파티션의 개념에 대해서 정확히 이해가 된 상태에서 제가 문제에 더 정확하게
질문을 했다면 헷갈리지 않으셨을것 같다는 생각이 들거든요.
앞서 말씀드린것처럼 우선은 '볼륨=파티션' 이렇게 생각하기로 가정을 하다보니 저도 그런 의미에서 '볼륨의 총 섹터수'라고 쓰다보니 헷갈리실수 있으실것 같아요.
위와 같이 [Partition 1] 을 클릭하면 나오는 Properties 내용과
[OS [NTFS]]를 클릭하면 나오는 Properties 내용을 보면서 설명드릴게요.
궁금하신 내용은 [총 섹터수]를 확인하는 방법인데, 질문주신 내용 중
총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)
이 내용은 다시 정리하면 [총 클러스터의 수 X 클러스터당 섹터수] 이죠?
클러스터당 A개의 섹터가 있고, 총 클러스터의 수가 B개이니 둘을 곱하면 섹터수가 나온다라고
생각하시는게 맞습니다.
다만 그때 나오는 값이 어디의 섹터수인지는 차이가 있어요.
위 첫번째 스크린샷에서 시나리오3의 Partition1의 총 섹터수는 6,291,456 입니다.
그리고 말씀 하신 방법으로 계산해보면 (두번째 스크린샷)
총 클러스터의 수(Cluster Count) X { 클러스터의 크기(Cluster Size) / 섹터당 용량(Bytes per Sector)
= 786,431 X ( 4,096 / 512 )
= 786,431 X 8
= 6,291,448
총 섹터수가 6,291,448 개라는 값이 나옵니다.
첫번째 스크린샷에서 확인한 Partition1의 Sector Count 는 6,291,456이고
OS[NTFS]의 클러스터의 수를 기준으로 계산한 섹터수는 6,291,448 으로
두 값의 차이는 Partition1의 Sector Count가 8개가 더 많죠 ?
다시 얘기하면 Partition1 안에 OS[NTFS]가 속해 있으므로
Partition 1이 6,291,456개의 섹터를 가졌고, 그중 6,291,448 개의 섹터가 OS[NTFS]에서 쓴다고 이해를 해주시면 될 것 같습니다.
참고로 질문주신 내용중
(786,431 + 456,456) * (4096 / 512)
786,431은 Cluster Count, 456은 Free Cluster Count 값인데 이 두 값을 더하시는게 아니라
Cluster Count 하나만 보셔야해요~
Free Cluster Count는 Cluster Count에 이미 포함되어있습니다 !
마지막으로, 볼륨과 파티션에 대해서 정확히 개념이 잡히기 전까지는
디스크 또는 USB 등 기기의 전체 섹터수를 묻는것이 아닌 볼륨이든 파티션이든 한 부분에 대한
총섹터수를 묻는다면 위 첫번째 스크린샷의 Partition1을 클릭했을때 나오는 Sector Count를
의미한다고 생각하시고 접근을 해주시면 좋을것 같습니다.
볼륨과 파티션에 대한 내용은 최대한 빨리 준비해서 올릴수 있도록 노력하겠습니다 ㅜ_ㅜ
0
안녕하세요, 인프런 AI 인턴입니다. jeb the sheep님.
디지털 포렌식에서 사용되는 항목들을 정확히 이해하는 것은 매우 중요합니다. 질문해 주신 내용과 관련된 답변을 제공하기 위해 비슷한 이전 질문과 답변을 참조하였습니다.
다음 링크들이 도움이 될 수 있습니다:
HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?
이와 관련하여 이해를 돕기 위해 요약된 설명을 추가적으로 제공해 드리겠습니다:
총 섹터 수 계산:
총 클러스터 수 × 클러스터 당 섹터 수
또는 총 섹터 수 × 섹터당 용량
으로 계산할 수 있습니다.디스크와 볼륨의 구분:
위 링크들에서 더 자세한 내용과 사례를 참조할 수 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
정말 너무 감사드립니다.
항상 친절하게 답변해주시고 도와주셔서 감사드립니다!