FSINFO(File System INFOrmation)
- 일반적으로 예약된 영역의 BR 다음 섹터에 저장되는 구조
- BR에서 FSINFO의 위치가 기록되어 있기 때문에 해당 위치는 임의로 지정이 가능
- FSINFO는 운영체제에게 할당되지 않은 클러스터의 위치와 할당되지 않은 클러스터의 전체 개수를 알려줌
- 데이터를 저장시 사용하지 않은 클러스터의 위치를 빠르게 알아낼 수 있으며 할당되지 않은 클러스터의 전체 개수를 이용하여 해당 볼륨의 여유 공간을 빠르게 파악할 수 있음
FSINFO 구조
◎ Lead Signature
- FSINFO 섹터라는 것을 알려주는 항목
- 0x41615252 값으로 설정되어 있음
◎ Reserved
- 예약된 영역으로 0으로 채워져 있음
- 479 byte로 구성
◎ Struct Signature
- FSINFO 섹터라는 것을 알려주는 항목
- 0x61417272 값으로 설정되어 있음
◎ Free Cluster Count
- 볼륨에서 사용 가능한 클러스터 개수
- 항목 값이 0xFFFFFFFF 경우 사용 가능한 클러스터의 개수를 알 수 없는 상태
- 적혀 있는 값이 반드시 정확한 값은 아님
◎ Next Free Cluster
- 사용 가능한 클러스터의 시작 번호 저장
◎ Reserved
- 예약된 영역으로 0으로 채워져 있음
◎ Trail Signature
- FSINFO 섹터라는 것을 알려주는 항목
- 0xAA550000 값으로 설정되어 있음
'Disk Forensic > File System Forensic' 카테고리의 다른 글
| FAT 구조 4 - FAT 구조 (0) | 2015.04.03 |
|---|---|
| FAT 구조 2 - BR 구조 (0) | 2015.03.31 |
| FAT32 구조 1 - FAT 개요 및 구조 (0) | 2015.03.26 |
| MBR 구조 (0) | 2015.03.23 |
| HFS+ File System 구조 - 데이터 찾아가기 (0) | 2015.03.13 |
| GPT(GUID Partition Table) 구조 (0) | 2015.03.12 |
