안녕하세요. 도깬리 포렌식스입니다.
오늘은 파일 타입(File Types)에 대해 알아봅시다.
File Type
테이블뷰의 Description 컬럼은 객체의 속성, (할당되거나 삭제된) 상태, 기타 상세한 사항에 대한 설명을 보여줍니다.
FAT 볼륨의 FAT 영역과 Directory Entry, NTFS 볼륨의 $MFT와 $Bitmap 파일을 읽어 그 내용을 Description 컬럼에 보여줍니다.
Common Description 컬럼 엔트리
File, <속성>
속성 : Archive, Hidden, System, Read Only, Not indexed, Compressed, Encrypted
File, <속성>, Hard Linked
Hard Linked : 일반적으로 소프트웨어의 구버전과 하위 호환성을 제공하기 위한 것으로 시스템 파일의 스토리지 영역을 가리킵니다.
File, Deleted, <속성>
삭제된 것 임을 나타냅니다.
FAT의 파일할당테이블 또는 NTFS의 $Bitmap을 보고, 삭제된 원래 파일의 시작 클러스터가 다른 새로운 파일에 의해 사용되고 있지 않은 경우, Deleted로 표시됩니다.
File, Deleted, Overwritten, <속성>
FAT의 파일할당테이블 또는 NTFS의 $Bitmap을 보고, 삭제된 원래 파일의 시작 클러스터가 다른 새로운 파일에 의해 사용되고 있는 경우, Deleted, Overwritten 으로 표시됩니다.
File, Internal, <속성>
포맷할 때 자동으로 생성되는 내부 시스템 파일임을 표시합니다.
시스템 영역/파일 정의
Unallocated
Unused disk space
Volume Slack
Pagefile.sys
NTFS의 볼륨 루트에 존재합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] 복사 옵션 (Copy Options) (0) | 2022.02.05 |
|---|---|
| [EnCase] 외부 뷰어 (External Viewer) (0) | 2022.02.04 |
| [EnCase] 데이터 선별에 유용한 태깅 (Tagging) 방법 (0) | 2022.02.02 |
| [EnCase] 북마킹 (Bookmarking) 하는 방법 (0) | 2022.02.01 |
| [EnCase] 검색 결과 조사하는 방법 (0) | 2022.01.31 |