※学んだ知識を書いてます。間違いの訂正ありました教えてください！！

はじめに

Forensicsを学ぶ上で重要となるファイルシステムについて書いていこうと思います。
初心者が自分なりの理解で書いています。

ファイルシステムとは

ファイルシステムはOS機能の一つであり、文書や画像などのデータを保存・整理しているファイルです。このファイルシステムがなければパソコンは使用できません。

私達はこのファイルシステムを意識せずに使っています。

データの保存や読み込みの際にも使用しています。

例えば、ファイルを保存する際にそのファイルの容量が大きく、他のデータが消えることは基本的にないと思います。その理由としてファイルシステムが全て自動で特定の場所に保存してくれるからです。データを呼び出す際にもファイルシステムがあることで位置の特定ができます。

1. 空きのデータ格納場所を確認
2. データの格納

ファイルシステムがないと、読み込みの際に「12415セクタのデータと12416セクタのデータを取り出す」といった命令を行わないといけません。

ファイルシステムの種類

ファイルシステムは、OSごとに規格が異なります。今回はWindows、Mac、UNIXのファイルシステムを2種類ずつ紹介していきます。

FAT

FATはWindowsで主に使われているファイルシステムです。FATの項目はクラスタの状態をビットで表す簡潔な形式です。ビット数の異なる幾つかの方式があり、扱えるハードディスク媒体の容量には限界があります。

ファイルが FAT パーティションに配置されている場合、システムを MS-DOS モードで再起動すると、削除したファイルを復元できます。

MacOSからもアクセスできるので共有ファイルを置くディスクにも使われています。

USBメモリなどの外部媒体にはFAT32がよく用いられています。

NTFS

NTFSは現在のWindowsで主流となっています。FATよりも複雑ですが高機能です。

ファイルがディレクトリごとに管理され、保存されます。トランザクションが追跡され、回復可能なファイル システムです。

アクセス権の細かな設定の他に、１ファイル、１ドライブの最大容量がFATよりも大きく取れるのが特徴です。

他にもジャーナルファイルシステムのサポート、暗号化機能などなの役割も持っています。

HFS＋

MacなどのOSとして主に使われています。

木構造の管理情報を用いてハードディスク媒体のファイルを階層的に管理する方式です。

ファイルとして使われる容量がとても多いので巨大なファイル容量を使う人達（エンジニアやクリエイター）に使われるようになっています。

MacOSにしか対応していないのでWindowsなどからアクセスができません。

APFS

Appleが開発したMacOSやiosのファイルシステムです。

HFS＋の問題点を解決を目的としてつくられたため、ファイルコピーの速度が高速化などの優れたパフォーマンスを提供できます。

Apple社が開発しているOSは今後APFSに切り替わっていくそうです。

XFS

主にLinuxなどのUNIX系に使われるファイルシステムです。管理領域の一貫性を維持するジャーナリング機能を持っています。

ジャーナルと呼ばれる領域に時系列で変更内容を保存してから書き換えを行います。これによって処理途中の段階の不意な中断も即座に復旧できます。

ただし削除したファイルは復元不可能らしい。

ext4

こちらもLinuxのファイルシステムでジャーナリング機能がついています。

Linuxのデフォルトして使われるOSです。

Ext2Fsdを使えばWindowsからアクセスできます。

エクステントを行いファイルの記録された領域が物理的には連続していなくても、論理的に連続した領域として認識させることで、アプリケーションプログラムは物理的な記録領域を意識することなくファイルへアクセスすることができます。

ファイルシステムの確認方法

＊検証環境：：Windows10
1. エクスプローラーを開く
2. PCを左クリック 3.ローカルディスクCを右クリック
4.プロパティを開く
5.ファイルシステムの確認
ファイルシステムの欄で確認することができます。
このファイルシステムはNTFSであることがわかります。