[File System] NTFS (05) - Sparse 속성과 압축 속성

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS의 Sparse 속성과 압축 속성에 대해 알아 보겠습니다. 모두 화이팅하세요 !!!

 

Sparse 속성

비거주형 $DATA 속성에만 적용됩니다.

외부 클러스터에 데이터를 저장할려고 할 때, 어떤 클러스터에 저장할 데이터가 모두 ‘0’인 경우, 해당 클러스터가 ‘0’으로 채워져 있다는 사실만을 기록하고, 실제로는 저장장치에 클러스터를 할당하지 않습니다.

즉 Cluster runs에 ‘크기’만 있고, ‘시작 위치’는 없습니다.

 

 

압축 속성

비거주형 $DATA 속성에만 적용됩니다.

파일시스템 수준에서 일어나는 압축입니다.

즉, 사용자나 응용프로그램은 해당 파일이 압축되었는지 알 수 없으며, 파일에 읽기/쓰기 작업이 이루어지는 경우, NTFS는 스스로 압축을 해제하여 처리합니다.

압축되었는지 여부는 $DATA, $STANDARD_INFORMATION, $FILE_NAME 속성의 플래그에 저장됩니다.

압축은 ‘압축 단위(Compression Units)’로 클러스터를 쪼갠 후 압축이 이루어집니다.

단지 몇 바이트의 파일을 읽기 위해 수십 MB가 넘는 압축된 데이터를 모두 해제하지 않아도 되는 장점이 있습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)