[File System] NTFS (03) - MFT 엔트리의 속성

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 MFT 엔트리의 속성에 대하여 알아 보겠습니다. 모두 화이팅 하세요!!!

 

MFT 엔트리 속성 개념

MFT 엔트리에는 내부 구조체(속성, Attributes)가 존재합니다.

속성에는 여러 가지 유형이 있고, 각각 자신만의 내부 구조체를 갖고 있습니다.

예) 파일이름을 위한 속성, 날짜와 시간에 대한 속성, 내용에 대한 속성

 

FAT과의 비교

- FAT : 파일의 내용을 읽고 쓰기 위한 것 입니다.

- NTFS : 속성을 읽고 쓰기 위한 것 입니다.

 

MFT Entry와의 비교

- MFT Entry : 비어 있는 같은 모양의 큰 상자

- Attributes :  물건이 들어 있는 작은 상자 (물건을 효율적으로 저장할 수 있는 모양을 갖추고 있습니다. 모자는 둥근 상자에, 포스터는 긴 상자에)

 

모든 속성은 헤더와 내용으로 나뉩니다.

헤더와 달리 내용은 속성별로 구별되고, 크기도 다릅니다.

 

속성 헤더

속성의 유형, 크기, 이름에 관한 정보를 갖고 있습니다.

압축 여부, 암호화 여부를 식별하는 플래그 값을 갖고 있습니다.

하나의 속성은 MFT 엔트리에서 고유한 식별값을 갖습니다.

 

속성 내용

속성의 내용은 2가지 형태로 저장됩니다.

 

거주(Resident) 속성

속성 헤더 다음에 바로 속성의 내용이 오고, 그 내용이 1KB 크기의 MFT 엔트리 안에 완전히 들어가는 형태입니다.

 

비거주(Non-Resident) 속성

속성의 내용이 너무 커서 1KB 크기의 MFT 엔트리 안에 완전히 들어갈 수 없는 경우, MFT 엔트리 안에는 해당 속성의 헤더만 존재하고, 속성의 내용은 별도의 클러스터를 할당받아서 그곳에 저장합니다.

속성 헤더에 해당 속성이 ‘거주형’인지, ‘비거주’형인지 구별하는 식별값이 있습니다.

- 거주인 경우 : 속성 내용은 헤더 다음에 존재합니다.

- 비거주인 경우 : 속성 내용이 위치하는 별도의 클러스터에 대한 주소만 헤더에 기록됩니다.

 

Cluster Runs

‘비거주형’인 경우 속성의 내용은 외부 클러스터에 저장되고, MFT 엔트리에는 해당 속성의 내용이 외부 어떤 클러스터에 저장되어 있는지에 대해 별도의 데이터 구조(Cluster Runs)를 갖게 됩니다.

Cluster Runs는 ‘비거주형’ 속성의 헤더 바로 다음에 위치합니다.

시작 클러스터의 주소와 그 길이만을 저장합니다.

 

 

LCN과 VCN

LCN (Logical Cluster Number) : 볼륨의 첫번째 클러스터로부터 순차적으로 지정되어 있는 주소 입니다.

VCN (Virtual Cluster Number) : 파일의 첫번째 클러스터로부터 순차적으로 지정되어 있는 주소 입니다.

 

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)