linux blkls 명령어

TSK(The Sleuth Kit)는 Brain Carrier가 File System Forensics을 위해 개발한 도구이다. 지원하는 명령어 도구 중 하나가 [blkls]이다. 

 

슬랙 공간(slack space)란, 디스크 섹터에 데이터가 저장되고 남은 데이터 공간이다. 다른 데이터가 디스크에 기록되어도 슬랙 공간에 저장되지 않고 다른 섹터에 저장한다. 그렇기 때문에 이 슬랙 공간은 악성코드나 특정 데이터들을 숨기거나 기록하는데 악용되기도 한다.

 

파일을 삭제하면 비 할당영역이 생기는데, 파일 삭제의 흔적을 알기 위해서 비 할당영역을 확인하면 증거의 흔적을 발견할 수 있다.

 

blkls의 [-s] 옵션을 이용하면 slack space에 숨겨진 데이터를 읽을 수 있다.

blkls의 [-A] 옵션을 이용하면 파일 시스템에 있는 모든 비할당 영역을 추출할 수 있다.

 

 

 

 

출처

https://blog.z3alous.xyz/114

https://moaimoai.tistory.com/5

디지털포렌식 with CTF  - 이별, 김격태, 김승규, 이창현 지음