인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

jeb the sheep님의 프로필 이미지
jeb the sheep

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

안녕하세요 시나리오3 8번 문제 질문이 있습니다.

해결된 질문

작성

·

71

1

안녕하세요 선생님 이번에 다시 시나리오를 풀어보면서 한 가지 궁금한 점이 있어서 질문을 드립니다.

8번문제의 해당 볼륨의 총 섹터 수를 구하는 것에 대한 것입니다.

제가 알고 있기로는 볼륨과 파티션의 차이는 파일시스템이 있는 파티션을 볼륨이라고 부르는 것으로 인지를 하고 있습니다.

그래서 저는 OS[NTFS]를 볼륨으로 인지하고 "총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)"으로 구하려고 해서 (786,431 + 456,456) * (4096 / 512)를 해서 구하려고 했지만 답은 Partition 1을 클릭했을 때 나온 섹터 카운트인 6,291,456이었어서 이게 왜 다른걸까 생각을 해보았을 때

볼륨 자체가 파일시스템이 있는 "파티션"이기 때문에 Partition 1의 총 섹터 수를 쓰신 것인지 궁금합니다.

 

위 내용이 만약 맞다면 OS[NTFS]에 있는 내용은 무엇을 의미하고 왜 총 섹터 수가 다르게 되는지 궁금합니다.

 

긴 글 읽어주셔서 감사드리고 지식 전수를 해주셔서 감사합니다.

답변 2

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 jeb the sheep님!
답변이 조금 늦었습니다. 최대한 24시간 내에 답변 드리려고 노력하는데 거의 꽉 채우고 답변을 드리네요
오늘 도저히 시간을 낼수가 없어서 이제야 드리는 점 이해해주세요 ㅜ_ㅜ

 

시나리오 3, 문제 8번의 해당 볼륨의 총섹터수에 대해서 궁금하신거죠?

설명드리기에 앞서서, 볼륨과 파티션에 대한 정확한 이해가 조금 필요한데,
제가 강의에서도 몇 번 말씀드린적 있지만 보통은 파티션=볼륨 이런식으로 같은 느낌으로 혼용되어 사용되는게 현실입니다.
물론 둘의 차이가 있긴 하지만요.
이 두 가지 개념을 문장 한 두 줄로 딱 정의해서 설명을 드릴수 있으면 좋겠지만,
사실 처음에는 이해하기가 꽤 어려운 개념입니다.
그래서 제가 강의에서는 두 개념이 다르지만, 적어도 지금 시작하는 이 단계에서는 파티션=볼륨 그렇게 생각하고 접근하기로 약속하고 후에 조금 더 포렌식에 대해 조금씩 알아가신 후에 그 개념을 정확히 알아보실것을 권해드렸거든요.

우선 이 부분은 시간이 된다면 조금 어렵더라도 정확한 개념을 이해할수 있도록 관련 영상을 준비해보도록 하겠습니다.

 

질문주신 부분에 대해서 자세히 보면, 헷갈리시는 가장 큰 이유는

볼륨의 총 섹터수를 구하라, 파티션의 총 섹터수를 구하라 처럼 볼륨과 파티션이라는 말때문이지 않을까 싶습니다. 우선 볼륨과 파티션의 개념에 대해서 정확히 이해가 된 상태에서 제가 문제에 더 정확하게
질문을 했다면 헷갈리지 않으셨을것 같다는 생각이 들거든요.
앞서 말씀드린것처럼 우선은 '볼륨=파티션' 이렇게 생각하기로 가정을 하다보니 저도 그런 의미에서 '볼륨의 총 섹터수'라고 쓰다보니 헷갈리실수 있으실것 같아요.

 

이미지 1.jpg

 

이미지 2.jpg

 

위와 같이 [Partition 1] 을 클릭하면 나오는 Properties 내용과
[OS [NTFS]]를 클릭하면 나오는 Properties 내용을 보면서 설명드릴게요.


궁금하신 내용은 [총 섹터수]를 확인하는 방법인데, 질문주신 내용 중

총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)

이 내용은 다시 정리하면 [총 클러스터의 수 X 클러스터당 섹터수] 이죠?
클러스터당 A개의 섹터가 있고, 총 클러스터의 수가 B개이니 둘을 곱하면 섹터수가 나온다라고
생각하시는게 맞습니다.
다만 그때 나오는 값이 어디의 섹터수인지는 차이가 있어요.

 

위 첫번째 스크린샷에서 시나리오3의 Partition1의 총 섹터수는 6,291,456 입니다.

그리고 말씀 하신 방법으로 계산해보면 (두번째 스크린샷)

총 클러스터의 수(Cluster Count) X { 클러스터의 크기(Cluster Size) / 섹터당 용량(Bytes per Sector)

= 786,431 X ( 4,096 / 512 )
= 786,431 X 8
= 6,291,448
총 섹터수가 6,291,448 개라는 값이 나옵니다.

 

첫번째 스크린샷에서 확인한 Partition1의 Sector Count 는 6,291,456이고
OS[NTFS]의 클러스터의 수를 기준으로 계산한 섹터수는 6,291,448 으로

두 값의 차이는 Partition1의 Sector Count가 8개가 더 많죠 ?

다시 얘기하면 Partition1 안에 OS[NTFS]가 속해 있으므로
Partition 1이 6,291,456개의 섹터를 가졌고, 그중 6,291,448 개의 섹터가 OS[NTFS]에서 쓴다고 이해를 해주시면 될 것 같습니다.

 

참고로 질문주신 내용중

 (786,431 + 456,456) * (4096 / 512)

786,431은 Cluster Count, 456은 Free Cluster Count 값인데 이 두 값을 더하시는게 아니라

Cluster Count 하나만 보셔야해요~

Free Cluster Count는 Cluster Count에 이미 포함되어있습니다 !

 

마지막으로, 볼륨과 파티션에 대해서 정확히 개념이 잡히기 전까지는
디스크 또는 USB 등 기기의 전체 섹터수를 묻는것이 아닌 볼륨이든 파티션이든 한 부분에 대한
총섹터수를 묻는다면 위 첫번째 스크린샷의 Partition1을 클릭했을때 나오는 Sector Count를
의미한다고 생각하시고 접근을 해주시면 좋을것 같습니다.

볼륨과 파티션에 대한 내용은 최대한 빨리 준비해서 올릴수 있도록 노력하겠습니다 ㅜ_ㅜ

jeb the sheep님의 프로필 이미지
jeb the sheep
질문자

정말 너무 감사드립니다.

항상 친절하게 답변해주시고 도와주셔서 감사드립니다!

0

안녕하세요, 인프런 AI 인턴입니다. jeb the sheep님.

디지털 포렌식에서 사용되는 항목들을 정확히 이해하는 것은 매우 중요합니다. 질문해 주신 내용과 관련된 답변을 제공하기 위해 비슷한 이전 질문과 답변을 참조하였습니다.

다음 링크들이 도움이 될 수 있습니다:

  1. 질문있습니다!

    • 질문자 Jee님이 디스크 용량 계산과 파일 내용 확인에 대한 질문을 남기셨습니다. 이 질문에서는 NTFS와 FAT32 파일 시스템에서 디스크 용량 계산법과 파일 분석 방법이 자세히 설명되어 있습니다.
  2. 강사님 확인차 용량 계산 질문이 있습니다.

    • 질문자 꾸기님도 파일 시스템별 용량 계산에 대한 질문을 남기셨습니다. 여기서는 NTFS와 FAT32 파일 시스템에서 총 용량 및 가용 용량을 구하는 방법을 명확히 설명하고 있으며, 파일 시스템의 차이를 이해하는 데 도움이 될 것입니다.
  3. HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?

    • 질문자 jeb the sheep 님이 질문하신 HxD와 FTK Imager에서 보여주는 섹터 수의 차이에 대한 내용입니다. 각 도구에서 제공하는 정보가 다를 수 있는 이유에 대해 설명이 포함되어 있습니다.

이와 관련하여 이해를 돕기 위해 요약된 설명을 추가적으로 제공해 드리겠습니다:

  • 총 섹터 수 계산:

    • NTFS 및 FAT32 파일 시스템의 총 섹터 수를 계산할 때는 섹터 당 용량, 클러스터의 수, 그리고 섹터의 수를 기반으로 계산합니다.
    • 볼륨의 총 섹터 수는 일반적으로 총 클러스터 수 × 클러스터 당 섹터 수 또는 총 섹터 수 × 섹터당 용량으로 계산할 수 있습니다.
    • FTK Imager 및 다른 분석 도구에서는 각각의 볼륨 및 파티션에 대한 총 섹터 수, 사용 중인 클러스터 수 등을 따로 제공할 수 있습니다.
  • 디스크와 볼륨의 구분:

    • 볼륨: 하나의 파일 시스템이 포함된 파티션을 지칭합니다.
    • 파티션: 하드 디스크의 구역 나누기를 통해 형성된 논리적 구분입니다.
    • 따라서 ‘OS[NTFS]’ 볼륨의 총 섹터 수는 말씀하신 것처럼 해당 파티션의 총 섹터 수와 동일하게 간주할 수 있습니다.

위 링크들에서 더 자세한 내용과 사례를 참조할 수 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

jeb the sheep님의 프로필 이미지
jeb the sheep

작성한 질문수

질문하기