[File System] NTFS (01) - MFT

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS를 소개해 드리겠습니다. 모두 화이팅 하세요!!!

 

NTFS 소개

윈도우 NT, 2000, XP, 2003 이후 버전에서 사용하는 기본 파일시스템 입니다.

- FAT : 모바일, 이동식 저장장치에서 주로 사용하는 파일시스템 입니다.

- NTFS : 노트북, 데스크탑에서 주로 사용하는 파일시스템 입니다.

FAT보다 복잡합니다.

신뢰성, 보안, 대용량 장치를 지원하기 위해 설계된 것 입니다.

마이크로소프트에서는 NTFS의 구체적인 명세를 공개하지 않고 있습니다.

개념적인 설명만 있을 뿐, 세부적인 설계사항을 공개하지 않고 있습니다.

몇몇 해커그룹에서 NTFS의 구조를 역공학적인 방법으로 분석하여 공개하고 있긴 하나, 일부 정확도가 떨어지는 측면이 있습니다.

 

모든 것이 파일이다

파일시스템의 관리 데이터가 파일 형태로 저장됩니다.

- FAT은 섹터 단위로 저장됨

특정한 레이아웃이 없고, 전체 파일시스템이 Data 영역입니다.

- FAT은 FSINFO구조체, FAT영역, Directory Entry영역, Data영역 등 특정한 레이아웃이 존재함

 

MFT(Master File Table) 개념

NTFS의 핵심 데이터입니다.

모든 파일과 디렉토리에 대한 정보는 한 개의 엔트리(MFT Entry, File Record)에 저장됩니다.

각 엔트리의 크기는 1KB이고, 부트섹터에 그 크기가 기록됩니다.

‘MFT Entry Header(각 엔트리의 첫 42바이트) + 속성’ 으로 구성됩니다.

 

 

MFT도 하나의 파일로 존재하고, MFT 그 자신의 엔트리도 포함합니다.

MFT의 첫 번째 엔트리는 $MFT 파일에 대한 정보를 갖고 있습니다.

- MFT의 디스크 위치를 알 수 있습니다.

- MFT의 레이아웃과 크기를 알 수 있습니다.

MFT의 시작 위치는 파일시스템의 첫 번째 섹터(부트섹터)에 기록되어 있습니다.

NTFS도 FAT처럼 ‘클러스터(연속적인 섹터의 그룹)’단위를 사용합니다.

 

 

MFT는 작게 시작하여 크기가 계속 확장하는 메커니즘 입니다.

MFT Entry는 생성되기만 할 뿐 지우지 않습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)