DF_m@ster

Ext4 File System File Recovery본 문단은 안드로이드의 Ext4 파일 시스템에서 파일 삭제 정책을 토대로 파일 복구 과정을 정의하고, 삭제된 파일 복구 과정을 정리한 글이다. 파일 복구 실습은 두 가지 파일로 나누어 진행한다. 첫 번째 복구의 경우 Extent 내부에 Extent Entry가 하나 존재하는 파일 단편화가 일어나지 않은 파일이다.두 번째 복구의 경우 파일 단편화가 5번 이상 일어나, Extent Depth가 1 이상인 파일의 복구이다. 아래는 복구 실습에 사용한 두 파일의 기본적인 정보이다.File NameSizeExtent Entry CountExtent Depth20240302_135410.jpg1,941 KB(1,986,687 Byte)1020240302_1354..

Ext4Ext4(Extended File System): 리눅스 기반 시스템에서 널리 사용되는 파일 시스템으로, 주로 안드로이드의 파일 시스템으로 사용된다. 안드로이드는 리눅스 커널을 기반으로 하기 때문에, Ext4는 안드로이드 장치에서 데이터의 저장, 검색, 관리를 효율적으로 수행하기에 적합하다. 때문에 모바일 포렌식 그중에서 안드로이드 포렌식을 위해서는 Ext4 파일 시스템을 상세하게 이해할 필요가 있다.  본 글은 포렌식의 관점에서 Ext4 파일 시스템의 구조를 상세 분석한 글이다.   Ext4 StructureExt4 파일 시스템은 파티션을 여러 개의 Block Group(= Group)으로 나누어 관리한다. Ext4는 Block이라는 데이터 저장 최소단위를 가지며, Block의 크기는 보통 1K..

Ext4Ext4(Extended File System): 리눅스 기반 시스템에서 널리 사용되는 파일 시스템으로, 주로 안드로이드의 파일 시스템으로 사용된다. 안드로이드는 리눅스 커널을 기반으로 하기 때문에, Ext4는 안드로이드 장치에서 데이터의 저장, 검색, 관리를 효율적으로 수행하기에 적합하다. 때문에 모바일 포렌식 그중에서 안드로이드 포렌식을 위해서는 Ext4 파일 시스템을 상세하게 이해할 필요가 있다.     [Digital Forensic] Android Ext4 File System Structure Analysis [Digital Forensic] Android Ext4 File System Structure AnalysisExt4 Ext4(Extended File System): 리눅스 기..

Physical Imaging디지털 포렌식에서 물리 이미지 획득은 비할당영역, 암호화된 데이터, 파일 시스템 등을 분석할 수 있게 해 준다. 안드로이드는 기본적으로 사용자에게 사용자 권한만을 부여하기 때문에 물리 이미지 획득이 불가능하고 파일 시스템 이미지 획득까지만 가능하다. 즉, 모바일 포렌식에서 물리 이미지 획득을 위해서는 Root 권한을 얻는 작업인 Rooting을 먼저 수행해야 한다. 본 글은 Android Rooting 과정 이후에 ADB를 이용해 물리 이미지 획득 방법을 상세하게 기술한 글이다.   Physical Imaging Command본 글은 이전 글에 이어 ADB와 netcat64를 이용해 안드로이드의 물리 데이터를 획득하고, PC로 전송하는 방식으로 이미징을 수행하는 방법을 기술한..

Rooting디지털 포렌식에서 물리 이미지 획득은 비할당영역, 암호화된 데이터, 파일 시스템 등을 분석할 수 있게 해 준다. 안드로이드는 기본적으로 사용자에게 사용자 권한만을 부여하기 때문에 물리 이미지 획득이 불가능하고 파일 시스템 이미지 획득까지만 가능하다. 즉, 모바일 포렌식에서 물리 이미지 획득을 위해서는 Root 권한을 얻는 작업인 Rooting을 수행해야 한다. 본 글은 Android Rooting 과정을 상세하게 기술한 글이다.   Device Info모델명S7모델 번호SM-G930SAndroid Version8.0.0   1. Odin, ADB, BusyBox, netcat64 설치Odin: Android 기기 OS를 설치하거나 업데이트하는데사용되며,사용자가 커스텀 ROM 설치, 루팅 또는..