인프런 커뮤니티 질문&답변

안녕하세요 jeb the sheep님!
답변이 조금 늦었습니다. 최대한 24시간 내에 답변 드리려고 노력하는데 거의 꽉 채우고 답변을 드리네요
오늘 도저히 시간을 낼수가 없어서 이제야 드리는 점 이해해주세요 ㅜ_ㅜ

시나리오 3, 문제 8번의 해당 볼륨의 총섹터수에 대해서 궁금하신거죠?

설명드리기에 앞서서, 볼륨과 파티션에 대한 정확한 이해가 조금 필요한데,
제가 강의에서도 몇 번 말씀드린적 있지만 보통은 파티션=볼륨 이런식으로 같은 느낌으로 혼용되어 사용되는게 현실입니다.
물론 둘의 차이가 있긴 하지만요.
이 두 가지 개념을 문장 한 두 줄로 딱 정의해서 설명을 드릴수 있으면 좋겠지만,
사실 처음에는 이해하기가 꽤 어려운 개념입니다.
그래서 제가 강의에서는 두 개념이 다르지만, 적어도 지금 시작하는 이 단계에서는 파티션=볼륨 그렇게 생각하고 접근하기로 약속하고 후에 조금 더 포렌식에 대해 조금씩 알아가신 후에 그 개념을 정확히 알아보실것을 권해드렸거든요.

우선 이 부분은 시간이 된다면 조금 어렵더라도 정확한 개념을 이해할수 있도록 관련 영상을 준비해보도록 하겠습니다.

질문주신 부분에 대해서 자세히 보면, 헷갈리시는 가장 큰 이유는

볼륨의 총 섹터수를 구하라, 파티션의 총 섹터수를 구하라 처럼 볼륨과 파티션이라는 말때문이지 않을까 싶습니다. 우선 볼륨과 파티션의 개념에 대해서 정확히 이해가 된 상태에서 제가 문제에 더 정확하게
질문을 했다면 헷갈리지 않으셨을것 같다는 생각이 들거든요.
앞서 말씀드린것처럼 우선은 '볼륨=파티션' 이렇게 생각하기로 가정을 하다보니 저도 그런 의미에서 '볼륨의 총 섹터수'라고 쓰다보니 헷갈리실수 있으실것 같아요.

위와 같이 [Partition 1] 을 클릭하면 나오는 Properties 내용과
[OS [NTFS]]를 클릭하면 나오는 Properties 내용을 보면서 설명드릴게요.

궁금하신 내용은 [총 섹터수]를 확인하는 방법인데, 질문주신 내용 중

총 클러스터 수 * (클러스터 당 용량 / 섹터 당 용량)

이 내용은 다시 정리하면 [총 클러스터의 수 X 클러스터당 섹터수] 이죠?
클러스터당 A개의 섹터가 있고, 총 클러스터의 수가 B개이니 둘을 곱하면 섹터수가 나온다라고
생각하시는게 맞습니다.
다만 그때 나오는 값이 어디의 섹터수인지는 차이가 있어요.

위 첫번째 스크린샷에서 시나리오3의 Partition1의 총 섹터수는 6,291,456 입니다.

그리고 말씀 하신 방법으로 계산해보면 (두번째 스크린샷)

총 클러스터의 수(Cluster Count) X { 클러스터의 크기(Cluster Size) / 섹터당 용량(Bytes per Sector)

= 786,431 X ( 4,096 / 512 )
= 786,431 X 8
= 6,291,448
총 섹터수가 6,291,448 개라는 값이 나옵니다.

첫번째 스크린샷에서 확인한 Partition1의 Sector Count 는 6,291,456이고
OS[NTFS]의 클러스터의 수를 기준으로 계산한 섹터수는 6,291,448 으로

두 값의 차이는 Partition1의 Sector Count가 8개가 더 많죠 ?

다시 얘기하면 Partition1 안에 OS[NTFS]가 속해 있으므로
Partition 1이 6,291,456개의 섹터를 가졌고, 그중 6,291,448 개의 섹터가 OS[NTFS]에서 쓴다고 이해를 해주시면 될 것 같습니다.

참고로 질문주신 내용중

 (786,431 + 456,456) * (4096 / 512)

786,431은 Cluster Count, 456은 Free Cluster Count 값인데 이 두 값을 더하시는게 아니라

Cluster Count 하나만 보셔야해요~

Free Cluster Count는 Cluster Count에 이미 포함되어있습니다 !

마지막으로, 볼륨과 파티션에 대해서 정확히 개념이 잡히기 전까지는
디스크 또는 USB 등 기기의 전체 섹터수를 묻는것이 아닌 볼륨이든 파티션이든 한 부분에 대한
총섹터수를 묻는다면 위 첫번째 스크린샷의 Partition1을 클릭했을때 나오는 Sector Count를
의미한다고 생각하시고 접근을 해주시면 좋을것 같습니다.

볼륨과 파티션에 대한 내용은 최대한 빨리 준비해서 올릴수 있도록 노력하겠습니다 ㅜ_ㅜ

안녕하세요, 인프런 AI 인턴입니다. jeb the sheep님.

디지털 포렌식에서 사용되는 항목들을 정확히 이해하는 것은 매우 중요합니다. 질문해 주신 내용과 관련된 답변을 제공하기 위해 비슷한 이전 질문과 답변을 참조하였습니다.

다음 링크들이 도움이 될 수 있습니다:

1. 질문있습니다!

   • 질문자 Jee님이 디스크 용량 계산과 파일 내용 확인에 대한 질문을 남기셨습니다. 이 질문에서는 NTFS와 FAT32 파일 시스템에서 디스크 용량 계산법과 파일 분석 방법이 자세히 설명되어 있습니다.
     

2. 강사님 확인차 용량 계산 질문이 있습니다.

   • 질문자 꾸기님도 파일 시스템별 용량 계산에 대한 질문을 남기셨습니다. 여기서는 NTFS와 FAT32 파일 시스템에서 총 용량 및 가용 용량을 구하는 방법을 명확히 설명하고 있으며, 파일 시스템의 차이를 이해하는 데 도움이 될 것입니다.
     

3. HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?

   • 질문자 jeb the sheep 님이 질문하신 HxD와 FTK Imager에서 보여주는 섹터 수의 차이에 대한 내용입니다. 각 도구에서 제공하는 정보가 다를 수 있는 이유에 대해 설명이 포함되어 있습니다.
     

이와 관련하여 이해를 돕기 위해 요약된 설명을 추가적으로 제공해 드리겠습니다:

• 총 섹터 수 계산:

  • NTFS 및 FAT32 파일 시스템의 총 섹터 수를 계산할 때는 섹터 당 용량, 클러스터의 수, 그리고 섹터의 수를 기반으로 계산합니다.
    
  • 볼륨의 총 섹터 수는 일반적으로 총 클러스터 수 × 클러스터 당 섹터 수 또는 총 섹터 수 × 섹터당 용량으로 계산할 수 있습니다.
    
  • FTK Imager 및 다른 분석 도구에서는 각각의 볼륨 및 파티션에 대한 총 섹터 수, 사용 중인 클러스터 수 등을 따로 제공할 수 있습니다.
    

• 디스크와 볼륨의 구분:

  • 볼륨: 하나의 파일 시스템이 포함된 파티션을 지칭합니다.
    
  • 파티션: 하드 디스크의 구역 나누기를 통해 형성된 논리적 구분입니다.
    
  • 따라서 ‘OS[NTFS]’ 볼륨의 총 섹터 수는 말씀하신 것처럼 해당 파티션의 총 섹터 수와 동일하게 간주할 수 있습니다.
    

위 링크들에서 더 자세한 내용과 사례를 참조할 수 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.