1 exfat (Extended FAT) File System Twitter Blog : f Kim Jinkook

2 Outline 1. exfat File System Introduction Internals Directory Structure Example

3 exfat Introduction Security is a people problem

4 exfat Introduction Introduction exfat (Extended FAT) : 확장파일할당테이블 마이크로소프트에서새롭게발표한파일시스템 (FAT64 라고도불림 ) 등장배경 외장형장치 대용량멀티미디어파일 오버헤드의최소화 TFAT (Transactional FAT) 과의호환성

5 exfat Introduction Timeline (Key Dates) 2006 년 11 월 : 윈도우 CE 6.0 에서소개 2008 년 03 월 : exfat 호환성을가진비스타서비스팩 1 출시 2009 년 01 월 : SDXC (Secure Digital extended Capacity) 메모리카드명세발표, 파일시스템으로 exfat 채택 2009 년 01 월 : exfat 을지원하는윈도우 XP 드라이버발표 2009 년 03 월 : Pretec 에서최초로 SDXC 카드출시 2009 년 12 월 : exfat 라이선스프로그램발표 2009 년 12 월 : Diskinternals 에서 exfat 복구프로그램발표

6 exfat Introduction SDXC? 다양한플래시메모리카드모델 (SD vs. CF) SD 와 SDHC 카드의후속모델 크기는기존제품과동일하지만용량 ( 최대 2 TB) 과성능면에서강점

7 exfat Introduction Supported Operating Systems Windows Vista SP1 Windows XP SP 2 (with updates) Windows XP SP 3 (with updates) Windows Server 2003 Windows Server 2008 Windows 7 Windows CE 6.0

8 exfat Introduction Getting the drives put onto Windows XP KB 업데이트패치를통해가능 ddd1 4ca2 b727 c2dff5e30f61&displaylang=en

9 exfat Introduction Summary of exfat Features 가변형섹터크기 (512 ~ 4096 바이트 ) 최대클러스터크기 (32 MB) 하위디렉터리 (256 MB) NTFS 의특징을가지지만 NTFS 보다낮은오버헤드 TexFAT (Transactional exfat) 호환 ACL (Access Control List), UTC (Universal Time, Coordinated) Timestamp 지원 OEM 파라미터섹터 9 섹터크기의 VBR (Volume Boot Record) 영역 ( 대용량부트프로그램가능 ) 하위디렉터리파일개수증가 ( 최대 2,796,202 개 )

10 exfat Introduction Scalability and Limitations 파일크기 : 128 PB ( 이론적으로 64 ZB, 마이크로소프트는 512 TB 권장 ) 디렉터리당최대파일개수 : 2,796,202 파일이름최대길이 : 255 문자 볼륨크기 : 16 EB ( 이론적으로는 64 ZB, 마이크로소프트는 512 TB 권장 ) 단위 바이트 KB Kilobyte MB Megabyte KB GB Gigabyte MB TB Terabyte GB PB Petabyte TB EB Exabyte PB ZB Zetabyte EB

11 exfat Introduction Maximum Volume and File Limitations FAT 12 FAT 16 FAT 32 NTFS UDF exfat 최대볼륨크기 32 MB 2 GB 2 TB 16 TB 2 TB 128 PB 최대파일크기 4GB 4GB 4GB 16 EB 16 EB 16 EB 복잡성 / 성능 Low Low Low High Low Low 고장저항력 (Fault Tolerance) 객체권한 (Object Permissions) No No No Yes No Yes No No No Yes No Yes 파일이름최대길이 Unicode 254 ASCII 255 Unicode

12 exfat Introduction How to Identify exfat Capability 시스템파일 exfat.sys %SystemRoot%\System32\Drivers\ exfat 옵션포함여부 uexfat.dll %SystemRoot%\System32\ 수정된파일 fmifs.dll fs_rec.sys ifutil.dll Shell32.dll ulib.dll xpsp3res.dll

13 exfat Introduction How to Identify exfat Capability XP 레지스트리키 SOFTWARE\Microsoft\Updates\Windows XP\SP4\KB SYSTEM\%Current Control Set%\Enum\Root\LEGACY_EXFAT SYSTEM\%Current Control Set%\Services\exFAT 그밖에 exfat 을가지는키 Vista 레지스트리키 SYSTEM\%Current Control Set%\Enum\Root\LEGACY_EXFAT SYSTEM\%Current Control Set%\Services\Eventlog\System\exFat SYSTEM\%Current Control Set%\Services\exFAT 그밖에 exfat 을가지는키

14 exfat Internals Security is a people problem

15 exfat Internals Volume Structure Main Boot Region Backup Boot Region FAT Region Data Region

16 exfat Internals Volume Structure Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Sector 0 Sector 1 Sector 2 Sector 3 Sector 4 Sector 5 Sector 6 Sector 7 Sector 8 Sector 9 Sector 10 Sector 11 Boot Sector Extended Boot Sectors OEM Reserved Checksum Parameter Sector Sector Record Boot Sector : BIOS Parameter Block (BPB), 부트코드, 시그니처 Extended Boot Sectors : 추가적인부트코드 대용량부트프로그램 OEM Parameter Record : 공장에서매체제조사에의해기록된내용 Reserved Sector : 현재정의되어있지않음 Checksum Sector : 이전 11 섹터에대한체크섬값 VBR 의마지막 3 섹터는부트시그니처 (0x55AA) 가존재하지않음

17 exfat Internals VBR Boot Sector Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Sector 0 Sector 1 Sector 2 Sector 3 Sector 4 Sector 5 Sector 6 Sector 7 Sector 8 Sector 9 Sector 10 Sector 11 Boot Sector Extended Boot Sectors OEM Reserved Checksum Parameter Sector Sector Record 범위 설명 0 2 Jump Command to boot code 3 10 File System Name Previously FAT Compatible BIOS Parameter Block Boot Program Signature (0xAA55)

18 exfat Internals VBR Boot Sector 필드명위치 ( 바이트 ) 크기 ( 바이트 ) 설명 / 값 Jump Boot 0 3 0xEB7690 File System Name 3 8 EXFAT Must Be Zero 반드시 0x00 ( 기존 FAT 간의오류를막기위해존재 ) Partition Offset 64 8 파티션위치섹터주소 Volume Length 72 8 볼륨에할당된총섹터수 FAT Offset st FAT 의섹터주소 FAT Length 84 4 FAT 에할당된총섹터수 Cluster Heap offset 88 4 데이터영역의섹터주소 Cluster Count 92 4 데이터영역의총클러스터수 Root Directory First Cluster 96 4 루트디렉터리의클러스터주소 Volume Serial Number 볼륨시리얼번호 File System Revision 파일시스템변경사항 Volume Flags 볼륨플래그 Bytes Per Sector 섹터당바이트수 Sectors Per Cluster 클러스터당섹터수 Number of FATs FAT 개수 Drive Select INT 13h 사용을위해존재 Percent In Use 데이터영역의사용량 Reserved Boot Code 부트프로그램 Boot Signature xAA55

19 exfat Internals VBR Boot Sector Jump Command File System Name Previously FAT BPB Region BIOS Parameter Block (BPB) Boot Code Region Signature

20 exfat Internals VBR Extended Boot Sector Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Sector 0 Sector 1 Sector 2 Sector 3 Sector 4 Sector 5 Sector 6 Sector 7 Sector 8 Sector 9 Sector 10 Sector 11 Boot Sector Extended Boot Sectors OEM Reserved Checksum Parameter Sector Sector Record Extended Boot Sectors : 추가적인부트코드 대용량부트프로그램 별도의부트코드가기록되지않을경우 0x00 으로채워짐 시그니처는 0xAA55

21 exfat Internals VBR Extended Boot Sector Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Sector 0 Sector 1 Sector 2 Sector 3 Sector 4 Sector 5 Sector 6 Sector 7 Sector 8 Sector 9 Sector 10 Sector 11 Boot Sector Extended Boot Sectors OEM Reserved Checksum Parameter Sector Sector Record OEM Parameter Record : 공장에서매체제조사에의해기록된내용 HDD 에서는현재사용되고있지는않음 포맷시지워지지않음 ( 완전삭제는예외 ) Parameter Field 48 바이트의 10 개필드 16 바이트 GUID + 32 바이트파라미터

22 exfat Internals VBR Extended Boot Sector Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Sector 0 Sector 1 Sector 2 Sector 3 Sector 4 Sector 5 Sector 6 Sector 7 Sector 8 Sector 9 Sector 10 Sector 11 Boot Sector Extended Boot Sectors OEM Reserved Checksum Parameter Sector Sector Record Checksum Sector : 이전 11 섹터에대한체크섬값 0x68086CCB 4 바이트체크섬값반복

23 exfat Internals File Allocation Table (FAT) Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Volume Boot Record Backup Volume Boot Record FAT #1 FAT #2 Cluster Heap FAT #2 : TexFAT 에서만지원 버전 1.0 에서는 Transactional exfat (TexFAT) 미지원 FAT #2 는 FAT #1 과항상다음에존재하며동일한크기 FAT12/16/32 에서 FAT 의역할은클러스터체인과할당상태 exfat 에서는할당상태역할은제외 비트맵을통해관리 I/O 성능향상 연속적인클러스터할당일경우 FAT 사용 X, 비연속적일경우에클러스터체인으로만활용

24 exfat Internals File Allocation Table (FAT) Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Volume Boot Record Backup Volume Boot Record FAT #1 FAT #2 Cluster Heap x0000 Media Type Status Byte Cluster 2 Cluster 3 0x0010 Cluster 4 Cluster 5 Cluster 6 Cluster 7 Media Type 플로피미지원 0x0020 Cluster 8 Cluster 9 Cluster 10 Cluster 11 항상 0xFFFFFFF8 0x0030 Cluster 12 Cluster 13 Cluster 14 Cluster 15 Status Byte 0x0040 Cluster 16 Cluster 17 Cluster 18 Cluster 19 사용하지않음 0x0050 Cluster 20 Cluster 21 Cluster 22 Cluster 23 항상 0xFFFFFFFF

25 exfat Internals File Allocation Table (FAT) As soon as media is formatted 0x : No significant meaning 0x : Not a valid cell value 0xFFFFFFF6 : Largest Value 0xFFFFFFF7 : Bad Block 0xFFFFFFF8 : Media Descriptor 0xFFFFFFF9 ~ E :NotDefined 0xFFFFFFFF : End of File (EOF) Cluster 2 : Allocation Bitmap Cluster 3 : UP-Case Table Cluster 4 : Root Directory

26 exfat Internals File Allocation Table (FAT) FAT Example FAT Offset Boot Sector in VBR FATLinked List Array 0xFFFFFFF8 0xFFFFFFFF First Cluster 40 Directory Record xFFFFFFFF (EOF)

27 exfat Internals Allocation Bitmap Table Root Directory First Cluster Boot Sector in VBR Volume Label Directory Record Root Directory UP Case Table Directory Record First Cluster Allocation Bitmap Directory Entry First Cluster Cluster 2 9 Cluster Cluster Cluster Cluster Cluster Cluster Cluster Cluster Cluster

28 exfat Internals Cluster Heap Volume Boot Record Backup Volume Boot Record FAT Cluster Heap Cluster Heap exfat 파일시스템의데이터영역 루트디렉터리 하위디렉터리 UP-Case 테이블 Allocation Bitmap 파일

29 exfat Directory Structure Security is a people problem

30 exfat Directory Structure Root Directory 하위디렉터리, 파일, 볼륨레이블, UP Case 테이블위치, 할당비트맵 (Allocation Bitmap) 위치등으로사용 TexFAT (Transactional FAT), ACL (Access Control List) 은현재윈도우 CE 버전에서만지원 각파일및디렉터리는 3 ~ 19 개의엔트리사용 디렉터리엔트리 32 바이트크기 첫바이트형식코드 (Type Code) 를통해해당엔트리의상태및목적을나타냄

31 exfat Directory Structure Root Directory Type Code 형식코드 위치 크기 In Use 7 1 Category 6 1 Importance 5 1 Code 0 5 In Use 0 : Not In Use 1 : In Use Category 0 : Primary Entry 1 : Secondary Entry Importance 0 : Critical Entry 1 : Benign Entry Code Identifiers the entry

32 exfat Directory Structure Root Directory 총 10 개의디렉터리엔트리사용 볼륨레이블디렉터리엔트리 (Volume Label Directory Entry) 할당비트맵디렉터리엔트리 (Allocation Bitmap Directory Entry) 대문자테이블디렉터리엔트리 (UP Case Directory Entry) 볼륨 GUID 디렉터리엔트리 (Volume GUID Directory Entry) TexFAT 패딩디렉터리엔트리 (TexFAT Padding Directory Entry) 윈도우 CE 접근제어테이블디렉터리엔트리 (Windows CE Access Control Table Directory Entry) 파일디렉터리엔트리 (File Directory Entry) 스트림확장디렉터리엔트리 (Stream Extension Directory Entry) 각파일및디렉터리당 3 개의엔트리구성 파일이름확장디렉터리엔트리 (File Name Extension Directory Entry)

33 exfat Directory Structure Volume Label Directory Entry x00 Entry Type Char Cnt Volume Label 0x10 Volume Label Reserved 데이터구조 필드명 위치 크기 설명 / 값 Entry Type x83 Character Count 1 1 레이블문자열길이 Volume Label 2 22 볼륨레이블 ( 유니코드 ) Reserved 24 8 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code 볼륨레이블최대길이 : 11 글자 볼륨레이블을할당하지않을경우 ( 포맷시 ), 형식코드값은 0x03 In Use 비트가 0 이되지만, 삭제된것이아니라단지사용하지않음을의미

34 exfat Directory Structure Volume Label Directory Entry x00 Entry Type Char Cnt Volume Label 0x10 Volume Label Reserved 볼륨레이블을지정안한경우 볼륨레이블을지정한경우

35 exfat Directory Structure Allocation Bitmap Directory Entry x00 Entry Type BitM Flags Reserved 0x10 Reserved First Cluster Data Length 데이터구조 필드명 위치 크기 설명 / 값 Entry Tpe Type x81 Bitmap Flags 1 1 비트맵플래그 Reserved 2 18 First Cluster 20 4 시작클러스터주소 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code Data Length 24 8 데이터길이 비트맵플래그표현 할당비트맵테이블은최대 2개 (TexFAT 사용시 ) 비트 크기 값 의미 7 1 Reserved 보통클러스터 2 번에위치 ( 가변적 ) st Bitmap 데이터길이는바이트길이 nd Bitmap

36 exfat Directory Structure Allocation Bitmap Directory Entry x00 Entry Type BitM Flags Reserved 0x10 Reserved First Cluster Data Length

37 exfat Directory Structure UP Case Table Directory Entry x00 Entry Type Reserved1 Table Checksum Reserved2 0x10 Reserved2 First Cluster Data Length 데이터구조 필드명 위치 크기 설명 / 값 Entry Type Tpe x82 Reserved1 1 3 Table Checksum 4 4 테이블체크섬 Reserved 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code First Cluster 20 4 시작클러스터주소 Data Length 24 8 데이터길이 파일명을대문자로변환할때사용 ( 파일이름과검색문자열의비교 ) 테이블사용이전에체크섬계산필요

38 exfat Directory Structure UP Case Table Directory Entry x00 Entry Type Reserved1 Table Checksum Reserved2 0x10 Reserved2 First Cluster Data Length

39 exfat Directory Structure Volume GUID Directory Entry x00 Entry Type 2 nd Cnt Set Checksum General Primary Flags Volume GUID 0x10 Volume GUID Reserved 데이터구조 필드명 위치 크기 설명 / 값 Entry Type Tpe 0 1 0A0 0xA0 Secondary Count 1 1 항상 0x00 Set Checksum 2 2 형식코드표현 형식코드 위치 크기 값 In Use Category Importance General Primary Flags 4 2 주요플래그 Code Volume GUID 6 16 볼륨 GUID 주요플래그표현 Reserved 필드위치크기값 Benign Primary 엔트리 하나만존재하고없을수도있음 Allocation Prossible No FAT Chain 1 1 Custom No 0 Valid 1 Invalid

40 exfat Directory Structure Windows CE Access Control Table Directory Entry x00 Entry Type Reserved 0x10 Reserved 데이터구조 필드명 위치 크기 설명 / 값 Entry Tpe Type 0 1 0E2 0xE2 Reserved 1 31 Benign Secondary 엔트리 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code 버전 1.0 에서는지원하지않음 ( 윈도우 CE 만지원 )

41 exfat Directory Structure File + Stream Extension + File Name Extension Entry x00 Entry Type 2 nd Cnt Set Checksum File Attributes Reserved1 Created Time Last Modified Time 0x10 Last Accessed Time Create 10ms Last Mod 10ms Creat ed TZ Last Mod TZ Last Acc TZ Reserved2 File Directory Entry x00 Entry Type Gen 2 nd Flags Reser ved1 Name Len Name hash Reserved2 Valid Data Length 0x10 Reserved3 First Cluster Data Length Stream Extension Entry x00 Entry Type Gen 2 nd Flags File Name 0x10 File Name File Name Extension Entry

42 exfat Directory Structure File Directory Entry x00 Entry Type 2 nd Cnt Set Checksum File Attributes Reserved1 Created Time Last Modified Time 0x10 Last Accessed Time Create 10ms Last Mod 10ms Creat ed TZ Last Mod TZ Last Acc TZ Reserved2 데이터구조 필드명 위치 크기 설명 / 값 Entry Type 0 1 0x85 Secondary Count 1 1 Set Checksum 2 2 File Attributes 4 2 파일속성 Reserved1 6 2 Created Time 8 4 DOS Timestamp 형식 Last Modified Time 12 4 DOS Timestamp 형식 Last Accessed Time 16 4 DOS Timestamp 형식 Created 10ms 20 1 생성시간 10ms 증가값 Last Modified 10ms 21 1 마지막수정시간 10ms 증가값 Created TZ Offset 22 1 생성시간 Timezone 위치 Last Modified TZ Offset 23 1 마지막수정시간 Timezone 위치 Last Accessed TZ Offset 24 1 마지막접근시간 Timezone 위치 Reserved 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code 파일속성표현 속성 위치 크기 마스크 Reserved Archive 5 1 0x20 Directory 4 1 0x10 Reserved1 3 1 System 2 1 0x04 00 Hidden 1 1 0x02 Read Only 0 1 0x01

43 exfat Directory Structure File Directory Entry x00 Entry Type 2 nd Cnt Set Checksum File Attributes Reserved1 Created Time Last Modified Time 0x10 Last Accessed Time Create 10ms Last Mod 10ms Creat ed TZ Last Mod TZ Last Acc TZ Reserved2 생성시간, 마지막수정시간, 마지막접근시간저장 10ms 단위의생성및마지막수정시간저장 각시간별타임존 (Time Zone) 저장 윈도우 XP 환경에서 10ms 단위의시간필드이상동작 ( 확인필요 )

44 exfat Directory Structure File Directory Entry File Deletion x00 Entry Type 2 nd Cnt Set Checksum File Attributes Reserved1 Created Time Last Modified Time 0x10 Last Accessed Time Create 10ms Last Mod 10ms Creat ed TZ Last Mod TZ Last Acc TZ Reserved2 삭제전 삭제후

45 exfat Directory Structure Stream Extension Directory Entry x00 Entry Type Gen 2 nd Flags Reser ved1 Name Len Name hash Reserved2 Valid Data Length 0x10 Rserved3 First Cluster Data Length 데이터구조 필드명위치크기설명 / 값 Entry Tpe Type 0 1 0C0 0xC0 General Secondary Flags 1 1 Reserved1 2 1 Name Length 3 1 이름길이 Name hash 4 2 이름해쉬 ( 디렉터리검색에사용 ) Reserved2 6 2 형식코드표현 형식코드 위치 크기 값 In Use Category Importance Code 차플래그표현 필드 위치 크기 값 Valid Data Length 8 8 유효한데이터길이 Reserved First Cluster 20 4 시작클러스터 Data Length 24 8 데이터길이 Allocation Possible 0 1 No FAT Chain 1 1 Custom No 1 Yes 0 Valid 1 Invalid

46 exfat Directory Structure Stream Extension Directory Entry x00 Entry Type Gen 2 nd Flags Reser ved1 Name Len Name hash Reserved2 Valid Data Length 0x10 Rserved3 First Cluster Data Length 파일의크기및위치정보저장 파일이름해쉬 디렉터리검색속도향상 No FAT Chain 플래그 : 1 클러스터가연속적으로할당되어있음을의미 시작클러스터부터파일용량만큼획득

47 exfat Directory Structure Stream Extension Directory Entry File Deletion x00 Entry Type Gen 2 nd Flags Reser ved1 Name Len Name hash Reserved2 Valid Data Length 0x10 Rserved3 First Cluster Data Length 삭제전 삭제후

48 exfat Directory Structure File Name Extension Directory Entry x00 Entry Type Gen 2 nd Flags File Name 0x10 File Name 데이터구조 필드명위치크기설명 / 값 Entry Tpe Type 0 1 0C1 0xC1 General Secondary Flags 1 1 0x00 File Name 2 30 파일명 15 글자 ( 유니코드 ) 할당이가능하지않음 시작클러스터및데이터길이필드가없음 최대 255 글자의파일명가능 17 개파일이름확장디렉터리엔트리필요 형식코드표현 형식코드위치크기값 In Use Category Importance Code 이차플래그표현 필드위치크기값 Allocation Possible 0 1 No FAT Chain 1 1 Custom No 1 Yes 0 Valid 1 Invalid

49 exfat Directory Structure File Name Extension Directory Entry Multiple Entry x00 Entry Type Gen 2 nd Flags File Name 0x10 File Name Reverse Engineering the Microsoft Extended FAT File System (exfat).pdf

50 exfat Directory Structure File Name Extension Directory Entry File Deletion x00 Entry Type Gen 2 nd Flags File Name 0x10 File Name 삭제전 삭제후

51 exfat Example Security is a people problem

52 exfat Example File(Not fragmented) Allocation C:\Downloads\proneer.txt (13KB) Cluster Heap Cluster Size : 4K FAT Allocation Bitmap ~F8 ~FF Root Directory Cluster 300 ~03 0x85 (Attributes, Timestamp, ) ~FF ~05 ~FF UP Case Table 0x85 (Attributes, Timestamp, ) 0xC0 (Name, First clus, Data len) 300 0xC1 Downloads (File Name) 0xC0 (Name, First clus, Data len) 301 0xC1 proneer.txt (File Name) ~FF Not Changed Real Data ~ ~

53 exfat Example File(Not fragmented) Deletion C:\Downloads\proneer.txt (13KB) Cluster Heap Cluster Size : 4K FAT Allocation Bitmap ~F8 ~FF Root Directory Cluster 300 ~03 0x05 (Attributes, Timestamp, ) ~FF ~05 ~FF UP Case Table 0x85 (Attributes, Timestamp, ) 0xC0 (Name, First clus, Data len) 300 0xC1 Downloads (File Name) 0x40 (Name, First clus, Data len) 301 0x41 proneer.txt (File Name) ~FF Not Changed Real Data ~ ~

54 exfat Example File(Fragmented) Allocation C:\Downloads\proneer.txt (13KB) Cluster Heap Cluster Size : 4K FAT Allocation Bitmap ~F8 ~FF Root Directory Cluster 300 ~03 0x85 (Attributes, Timestamp, ) ~FF ~05 ~FF UP Case Table 0x85 (Attributes, Timestamp, ) 0xC0 (Name, First clus, Data len) 300 0xC1 Downloads (File Name) 0xC0 (Name, First clus, Data len) 301 0xC1 proneer.txt (File Name) ~FF Real Data Changed ~ ~FF

55 exfat Example File(Fragmented) Allocation C:\Downloads\proneer.txt (13KB) Cluster Heap Cluster Size : 4K FAT Allocation Bitmap ~F8 ~FF Root Directory Cluster 300 ~03 0x05 (Attributes, Timestamp, ) ~FF ~05 ~FF UP Case Table 0x85 (Attributes, Timestamp, ) 0xC0 (Name, First clus, Data len) 300 0xC1 Downloads (File Name) 0x40 (Name, First clus, Data len) 301 0x41 proneer.txt (File Name) ~FF Real Data Changed ~

56 Quiz! Security is a people problem

57 Quiz! exfat FAT32 과다른점은? VBR (Volume Boot Record) 가가지는총섹터수는? Cluster Heap 영역에존재하는객체는? 한파일이가질수있는최대엔트리개수는? 파일의시간정보가저장되는엔트리는? 10ms 단위의시간이저장되는시간필드는? 각파일과디렉터리마다생성되는디렉터리엔트리의개수및종류는?

58 Quiz! exfat 비할당클러스터판별법은? 삭제된파일판별법은? 덮어써진파일판별법은?

59 Question & Answer

Outline 1. FAT12/16/32 ü Introduction ü Internals ü Directory Structure ü Example

Outline 1. FAT12/16/32 ü Introduction ü Internals ü Directory Structure ü Example FAT12/16/32 File System Twitter : @pr0neer Blog : Email : Kim Jinkook Outline 1. FAT12/16/32 ü Introduction ü Internals ü Directory Structure ü Example FAT12/16/32 Introduction Security

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx

Microsoft PowerPoint - [#4-2] File System Forensic Analysis.pptx File System Forensic Analysis Twitter : @pr0neer Blog : f Email : Kim Jinkook Outline 1. File System Forensic Analysis (FAT/NTFS) Recovery for Deleted Files (FAT/NTFS) Unallocated Cluster

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx

Microsoft PowerPoint - 알고리즘_1주차_2차시.pptx Chapter 2 Secondary Storage and System Software References: 1. M. J. Folk and B. Zoellick, File Structures, Addison-Wesley. 목차 Disks Storage as a Hierarchy Buffer Management Flash Memory 영남대학교데이터베이스연구실

슬라이드 1

슬라이드 1 휴지통포렌식 JK Kim @pr0neer 개요 1. 휴지통 2. 휴지통파일구조 3. 휴지통파일카빙 4. 휴지통파일분석 2 휴지통 Security is a people problem 3 휴지통 휴지통이란? 휴지통소개 윈도우에서파일을삭제할경우, 기본적으로삭제된파일은휴지통 (Recycle Bin) 영역으로이동 휴지통우회방법 SHIFT

GNU/Linux 1, GNU/Linux MS-DOS LOADLIN DOS-MBR LILO DOS-MBR LILO... 6 GNU/ 1, qkim@pecetrirekr GNU/ 1 1 2 2 3 4 31 MS-DOS 5 32 LOADLIN 5 33 DOS- LILO 6 34 DOS- 6 35 LILO 6 4 7 41 BIOS 7 42 8 43 8 44 8 45 9 46 9 47 2 9 5 X86 GNU/LINUX 10 1 GNU/, GNU/ 2, 3, 1 : V 11, 2001

More information

휠세미나3 ver0.4

More information

제목을 입력하세요

제목을 입력하세요 기술문서 13. 10. 31. 작성 320 사이버대란복구 2013-04-30 fatapple 목차 1. 개요...3 2. 복구...4 2.1 MBR... 4 2.2 VBR... 9 2.3 복구 Tool...13 3. 결론... 16 4. 참고문헌... 17 2 1. 개요 이번 320 사이버대란에서주관심사는손실된저장매체의 Data였다. 피해를입은여러기업의 PC들의

More information

다음 사항을 꼭 확인하세요! 도움말 안내 - 본 도움말에는 iodd2511 조작방법 및 활용법이 적혀 있습니다. - 본 제품 사용 전에 안전을 위한 주의사항 을 반드시 숙지하십시오. - 문제가 발생하면 문제해결 을 참조하십시오. 중요한 Data 는 항상 백업 하십시오. 메 뉴 다음 사항을 꼭 확인하세요! --------------------------------- 2p 안전을 위한 주의 사항 --------------------------------- 3p 구성품 --------------------------------- 4p 각 부분의 명칭 --------------------------------- 5p 제품의 규격

More information



Microsoft PowerPoint - o8.pptx

Microsoft PowerPoint - o8.pptx 메모리보호 (Memory Protection) 메모리보호를위해 page table entry에 protection bit와 valid bit 추가 Protection bits read-write / read-only / executable-only 정의 page 단위의 memory protection 제공 Valid bit (or valid-invalid bit)

More information

3. FAT32 파일시스템의구조 1) 마스터부트레코드 (MBR) 하드디스크의첫번째섹터를 MBR 이라고하며, 512 바이트의크기입니다. MBR 에서는해당디스크의파티션에대한정보를담고있으며, 아래 < 그림1 > 과같은구조를갖습니다. < 그림1. 마스터부트레코드구조 > MBR 1. FAT 파일시스템이란? FAT(File Allocation Table, ' 파일할당테이블') 는 MS ' 社 의 MS-DOS의파일시스템에서하드디스크의 파일의위치정보등을기록하기위한영역을말합니다. 나중에윈도우에도들어가면서 FAT는파일시스템 그자체를가리키게되었습니다. FAT는 FAT12, FAT16, FAT32 총 3 종류가있으며, FAT 뒤의숫자는각파일에대한클러스터의위치와

More information

슬라이드 1 / 유닉스시스템개요 / 파일 / 프로세스 01 File Descriptor file file descriptor file type unix 에서의파일은단지바이트들의나열임 operating system 은파일에어떤포맷도부과하지않음 파일의내용은바이트단위로주소를줄수있음 file descriptor 는 0 이나양수임 file 은 open 이나 creat 로 file

More information

목차 1. 제품 소개... 4 1.1 특징... 4 1.2 개요... 4 1.3 Function table... 5 2. 기능 소개... 6 2.1 Copy... 6 2.2 Compare... 6 2.3 Copy & Compare... 6 2.4 Erase... 6 2

목차 1. 제품 소개... 4 1.1 특징... 4 1.2 개요... 4 1.3 Function table... 5 2. 기능 소개... 6 2.1 Copy... 6 2.2 Compare... 6 2.3 Copy & Compare... 6 2.4 Erase... 6 2 유영테크닉스( 주) 사용자 설명서 HDD014/034 IDE & SATA Hard Drive Duplicator 유 영 테 크 닉 스 ( 주) (032)670-7880 목차 1. 제품 소개... 4 1.1 특징... 4 1.2 개요... 4 1.3 Function table... 5 2. 기능 소개... 6 2.1 Copy...

More information

슬라이드 1 Pairwise Tool & Pairwise Test NuSRS 200511305 김성규 200511306 김성훈 200614164 김효석 200611124 유성배 200518036 곡진화 2 PICT Pairwise Tool - PICT Microsoft 의 Command-line 기반의 Free Software 에서다운로드후설치

More information


More information

디지털포렌식학회 논문양식

디지털포렌식학회 논문양식 Windows Transactional NTFS(TxF), Registry(TxR) 기능 연구 유 병 영, 방 제 완, 이 상 진 고려대학교 디지털포렌식연구센터 Analysis of Windows Transactional NTFS(TxF) and Transactional Registry(TxR) Byeongyeong Yoo, Jewan Bang, Sangjing

More information


More information

디지털포렌식학회 논문양식

More information

PowerPoint Presentation

More information

C# Programming Guide - Types

More information

Microsoft PowerPoint - [#4-1] NTFS.pptx

Microsoft PowerPoint - [#4-1] NTFS.pptx New Technology File System Twitter : @pr0neer Blog : f Email : Kim Jinkook Outline 1. NTFS Introduction Internals Features Example NTFS Introduction Security is a people problem NTFS

More information

Poison null byte Excuse the ads! We need some help to keep our site up. List 1 Conditions 2 Exploit plan 2.1 chunksize(p)!= prev_size (next_chunk(p) 3

More information

PowerPoint Presentation

More information

8.파일시스템과 파일 복구

8.파일시스템과 파일 복구 박종혁교수 Tel: 970-6702 Email: 학습목표 디지털포렌식에서기본단위는파일의추출과분석을통해이루어지므로, 파일의저장및관리를책임지는파일시스템의이해는필수적이다. 먼저파일시스템의이해와구조를파악하고, 윈도우시스템에서가장널리쓰이는 FAT, NTFS 파일시스템에대해학습한다. 학습내용 파일시스템의이해 파일시스템분석 FAT

More information

PowerPoint Presentation

More information


DocsPin_Korean.pages Unity Localize Script Service, Page 1 Unity Localize Script Service Introduction Application Game. Unity. Google Drive Unity.. Application Game. -? ( ) -? -?.. 준비사항 Google Drive. Google Drive.,.. - Google

MS-SQL SERVER 대비 기능 Business! ORACLE MS - SQL ORACLE MS - SQL Clustering A-Z A-F G-L M-R S-Z T-Z Microsoft EE : Works for benchmarks only CREATE VIEW Customers AS SELECT * FROM Server1.TableOwner.Customers_33 UNION ALL SELECT

More information

1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로 제공됩니다. 본 문서와 여기 포함된 모든 정보는 SK 데이터 마이그레이션 도구 사용자 가이드 Data Migration Tool User Guide SK kynix Inc. 2014 Rev 1.01K 1 법적 고지 사항 SK hynix Inc.는 사전 통보 없이 제품, 정보 및 사양을 변경할 권리를 보유합니다. 본 문서의 제품 및 사양은 참조용입니다. 본 문서의 모든 정보는 어떠한 형태의 보증 없이 있는 그대로

More information

solution map_....


More information

Chap06(Interprocess Communication).PDF

More information

Tablespace On-Offline 테이블스페이스 온라인/오프라인

More information

APOGEE Insight_KR_Base_3P11

More information


제20회_해킹방지워크샵_(이재석) IoT DDoS DNS ( ( DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

8.파일시스템과 파일 복구

More information

7장. 교착상태(deadlock)

More information

알아 둘 사항 아이오드 제조사는 본 기기에 하드디스크를 포함하여 출고하지 않습니다. 따라서 하드디스크에 문제가 발생할 경우, 구매처 또는 해당 하드디스크 서비 스센터에 문의 하시기 바랍니다. 정해진 용도 외의 사용으로 발생한 문제에 대해서, 당사는 어떠한 책임도 지지

More information


bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

Clover 부트로더를 이용한 해킨토시 설치방법

More information


R50_51_kor_ch1 S/N : 1234567890123 Boot Device Priority NumLock [Off] Enable Keypad [By NumLock] Summary screen [Disabled] Boor-time Diagnostic Screen [Disabled] PXE OPROM [Only with F12]

강의 개요

강의 개요 DDL TABLE 을만들자 웹데이터베이스 TABLE 자료가저장되는공간 문자자료의경우 DB 생성시지정한 Character Set 대로저장 Table 생성시 Table 의구조를결정짓는열속성지정 열 (Clumn, Attribute) 은이름과자료형을갖는다. 자료형 : TABLE

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 ( SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

Solaris Express Developer Edition

More information

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

More information

Microsoft Word - HD-35 메뉴얼_0429_.doc

More information


untitled PowerBuilder 連 Microsoft SQL Server database PB10.0 PB9.0 若 Microsoft SQL Server 料 database Profile MSS 料 (Microsoft SQL Server database interface) 行了 PB10.0 了 Sybase 不 Microsoft 料 了 SQL Server 料 PB10.0

More information


More information


SMB_ICMP_UDP(huichang).PDF SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request

More information

목 차

More information

목차 BUG offline replicator 에서유효하지않은로그를읽을경우비정상종료할수있다... 3 BUG 각 partition 이서로다른 tablespace 를가지고, column type 이 CLOB 이며, 해당 table 을 truncate

More information

-. Data Field 의, 개수, data 등으로구성되며, 각 에따라구성이달라집니다. -. Data 모든 의 data는 2byte로구성됩니다. Data Type는 Integer, Float형에따라다르게처리됩니다. ( 부호가없는 data 0~65535 까지부호가있는

More information

I 안전 지침 다음 안전 지침을 이용해 사용자 자신과 북톱(Booktop)를 보호하십 시오. M1022 북톱(Booktop) 컴퓨터를 사용할 때 주의: 휴대용 컴퓨터를 신체 위에 직접 올려놓고 장시간 동 안 사용하지 마십시오. 장시간 작동으로 인해 컴퓨터 밑부 분에서

More information

BMP 파일 처리

More information


vm-웨어-01장 Chapter 16 21 (Agenda). (Green),., 2010. IT IT. IT 2007 3.1% 2030 11.1%, IT 2007 1.1.% 2030 4.7%, 2020 4 IT. 1 IT, IT. (Virtualization),. 2009 /IT 2010 10 2. 6 2008. 1970 MIT IBM (Mainframe), x86 1. (http

More information

Microsoft PowerPoint - ch09 - 연결형리스트, Stack, Queue와 응용 pm0100

More information


K7VT2_QIG_v3 1......... 2 3..\ 4 5 [R] : Enter Raid setup utility 6 Press[A]keytocreateRAID RAID Type: JBOD RAID 0 RAID 1: 2 7 " RAID 0 Auto Create Manual Create: 2 RAID 0 Block Size: 16K 32K

More information

More information


Integ HP Integrity HP Chipset Itanium 2(Processor 9100) HP Integrity HP, Itanium. HP Integrity Blade BL860c HP Integrity Blade BL870c HP Integrity rx2660 HP Integrity rx3600 HP Integrity rx6600 2 HP Integrity

More information

PowerPoint 프레젠테이션

More information

My Passport for Mac User Manual

More information

Microsoft Word doc

More information

리뉴얼 xtremI 최종 softcopy

More information

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper

Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs, including any oper Windows Netra Blade X3-2B( Sun Netra X6270 M3 Blade) : E37790 01 2012 9 Copyright 2012, Oracle and/or its affiliates. All rights reserved.,.,,,,,,,,,,,,.,...,. U.S. GOVERNMENT END USERS. Oracle programs,

More information


More information

A Dynamic Grid Services Deployment Mechanism for On-Demand Resource Provisioning

More information

Microsoft PowerPoint - 알고리즘_2주차_1차시.pptx

More information

FMX M JPG 15MB 320x240 30fps, 160Kbps 11MB View operation,, seek seek Random Access Average Read Sequential Read 12 FMX () 2

More information

Mango220 Android How to compile and Transfer image to Target

More information

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

More information

Freecom Mobile Drive XXS 사용자에게! Freecom Mobile Drive XXS 외장형 하드 드라이브를 선택해 주셔서 감사합니다. 최 적의 사용과 성능을 위해 본 제품을 사용하기 전에 본 설명서를 주의 깊게 읽을 것 을 권합니다. Freecom T

More information

MAX+plus II Getting Started - 무작정따라하기

More information

슬라이드 1

More information

Microsoft PowerPoint - ch07.ppt

More information

Microsoft PowerPoint - a10.ppt [호환 모드]

More information

Simplify your Job Automatic Storage Management DB TSC

More information

Nero <Application> 설명서

More information

Orcad Capture 9.x

More information


강의10 Computer Programming gdb and awk 12 th Lecture 김현철컴퓨터공학부서울대학교 순서 C Compiler and Linker 보충 Static vs Shared Libraries ( 계속 ) gdb awk Q&A Shared vs Static Libraries ( 계속 ) Advantage of Using Libraries Reduced

MPLAB C18 C MPLAB C18 C MPLAB C18 MPLAB C18 C MPLAB C18 C #define START, c:\mcc18 errorlevel{0 1} char isascii(char ch); list[list_optioin,list_option] OK, Cancel , MPLAB IDE User s Guide MPLAB C18 C

More information

초보자를 위한 ADO 21일 완성 ADO 21, 21 Sams Teach Yourself ADO 2.5 in 21 Days., 21., 2 1 ADO., ADO.? ADO 21 (VB, VBA, VB ), ADO. 3 (Week). 1, 2, COM+ 3.. HTML,. 3 (week), ADO. 24 1 - ADO OLE DB SQL, UDA(Universal Data Access) ADO.,,

More information


More information

PRO1_02E [읽기 전용]

More information


<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

adfasdfasfdasfasfadf C 4.5 Source code Pt.3 ISL / 강한솔 2019-04-10 Index Tree structure Build.h Tree.h St-thresh.h 2 Tree structure *Concpets : Node, Branch, Leaf, Subtree, Attribute, Attribute Value, Class Play, Don't Play.

More information

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서 PowerChute Personal Edition v3.1.0 990-3772D-019 4/2019 Schneider Electric IT Corporation Schneider Electric IT Corporation.. Schneider Electric IT Corporation,,,.,. Schneider Electric IT Corporation..

More information

Windows Storage Services Adoption And Futures

More information

Microsoft Word - CL5000,5500_KOR_UM_20110321_.doc

More information

1217 WebTrafMon II

More information

PowerPoint 프레젠테이션

More information


untitled (shared) (integrated) (stored) (operational) (data) : (DBMS) :, (database) :DBMS File & Database - : - : ( : ) - : - : - :, - DB - - -DBMScatalog meta-data -DBMS -DBMS - -DBMS concurrency control E-R,

More information

PowerPoint 프레젠테이션

More information

PowerPoint 프레젠테이션

More information

처음에 읽어 주십시오 본 제품을 사용하시기 전에 이 사용설 명서를 자세히 읽고 장래에 참조할 수 있도록 소중히 보관하여 주십시오. 한국내 고객용 경고 화재 또는 감전의 위험을 줄이기 위해 장치를 비 또는 습기에 노출시 키지 않도록 하여 주십시오. 배터리를 햇빛, 불 등

More information

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

More information

SSD의 기본 이해하기 Jon L. Jacobi PCWorld HDD와 SSD 내부 구조 데스크톱 PC나 노트북 컴퓨터의 성능을 가장 쉽게 효율적으로 향상시킬 수 있는 방법 중 하나는 SSD를 설치하는 것이다. 부팅, 윈도우 및 메뉴 실행 속도, 프로그램 및 데이터 로

More information

(Asynchronous Mode) ( 1, 5~8, 1~2) & (Parity) 1 ; * S erial Port (BIOS INT 14H) - 1 -

More information

Microsoft PowerPoint - 6.pptx

More information


More information

I 안전 지침 사용자 자신과 넷북의 보호를 위해 다음의 안전 지침을 사용하십시오. M912 넷북 컴퓨터를 사용할 때 경고: 휴대용 컴퓨터를 장시간 신체 위에 직접 올려놓고 사용 하지 마십시오. 장시간 작동으로 인해 컴퓨터 밑부분에서 열 이 발생할 수 있습니다. 지속적인

More information

[ 컴퓨터시스템 ] 3 주차 1 차시. 디렉토리사이의이동 3 주차 1 차시디렉토리사이의이동 학습목표 1. pwd 명령을사용하여현재디렉토리를확인할수있다. 2. cd 명령을사용하여다른디렉토리로이동할수있다. 3. ls 명령을사용하여디렉토리내의파일목록을옵션에따라다양하게확인할수

More information