안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS의 기본 속성 정보에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
기본 속성 유형들
각 속성의 유형은 ‘번호’로 구별됩니다.
$AttrDef 파일시스템 메타데이터 파일에 각 속성의 유형에 대한 명세가 있습니다.
각 속성은 ‘번호’ 이외에도 ‘이름’을 갖고 있습니다.
$로 시작하고, 모두 대문자로 구성됩니다.
속성유형과 식별자 전부가 모든 파일에 존재하는 것은 아닙니다.
| 번호 | 이름 | 설명 |
| 16 | $STANDARD_INFORMATION | 접근/수정/생성시간, 소유자, 보안 아이디 등 |
| 32 | $ATTRIBUTE_LIST | 다른 속성의 위치 정보를 저장하고 있는 목록 |
| 48 | $FILE_NAME | 파일이름(유니코드), 접근/수정/생성시간 |
| 64 | $VOLUME_VERSION | 볼륨정보 (Ver 1.2에만 존재, 윈도 NT) |
| 64 | $OBJECT_ID | 파일/디렉토리에 대한 식별자 (Ver 3.0 이상, 윈도 2000 이상) |
| 80 | $SECURITY_DESCRIPTOR | 파일의 접근제어와 보안 속성 |
| 96 | $VOLUME_NAME | 볼륨이름 |
| 112 | $VOLUME_INFORMATION | 파일시스템 버전, 플래그 |
| 128 | $DATA | 파일내용 |
| 144 | $INDEX_ROOT | 인덱스 트리의 루트 노드 |
| 160 | $INDEX_ALLOCATION | 인덱스 트리와 연결된 노드 |
| 176 | $BITMAP | MFT와 Index의 할당정보를 저장 |
| 192 | $SYMBOLIC_LINK | 소프트링크 정보 (Ver 1.2에만 존재) |
| 192 | $REPARSE_POINT | Reparse 지점에 대한 위치정보 (윈도 2000 이상) |
| 208 | $EA_INFORMATION | OS/2 응용프로그램과의 호환성을 위해 사용 |
| 224 | $EA | OS/2 응용프로그램과의 호환성을 위해 사용 |
| 256 | $LOGGED_UTILITY_STREAM | 암호화된 속성에 관한 정보와 키값을 저장 (윈도 2000 이상) |
대부분의 MFT 엔트리는 다음의 3개 속성을 갖습니다.
- $FILE_NAME
- $STANDARD_INFORMATION
- $DATA
파일 내용이 700바이트 이상이면, ‘비거주형’ 엔트리가 되며, 파일내용은 외부 클러스터에 저장됩니다.
1개의 파일/디렉토리에 2개 이상의 $DATA 속성이 있다면, 기본적으로 존재하는 $DATA 이외의 추가적인 $DATA 속성이 ‘ADS (Alternate Data Streams)’ 입니다.
기본적으로 존재하는 $DATA 속성은 이름이 없지만, 추가적으로 존재하는 $DATA 속성은 반드시 이름을 갖습니다.
모든 디렉토리는 $INDEX_ROOT 속성을 갖고 있습니다.
$INDEX_ROOT 속성은 디렉토리 내에 위치한 파일과 하위 디렉토리 정보를 갖습니다.
만약 디렉토리가 크면 $INDEX_ALLOCATION과 $BITMAP 속성을 이용하여 디렉토리에 관한 정보를 저장합니다.
디렉토리도 $DATA 속성을 포함할 수 있습니다.
$INDEX_ROOT와 $INDEX_ALLOCATION 속성의 이름은 일반적으로 ‘$I30’ 입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (06) - 인덱스 (0) | 2023.07.02 |
|---|---|
| [File System] NTFS (05) - Sparse 속성과 압축 속성 (0) | 2023.06.30 |
| [File System] NTFS (03) - MFT 엔트리의 속성 (0) | 2023.06.25 |
| [File System] NTFS (02) - MFT 엔트리, 파일시스템메타데이터 (0) | 2023.06.23 |
| [File System] NTFS (01) - MFT (0) | 2023.06.21 |