안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $MFT에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
$MFT 파일
모든 파일과 디렉토리에 관한 엔트리를 갖고 있습니다.
일반 파일을 찾기 위해서는 $MFT를 해석해야 합니다.
MFT의 시작 주소는 부트섹터에 기록됩니다.
엔트리 0번
MFT의 전체 레이아웃을 보여줍니다..
즉, $MFT 자신에 대한 정보를 보여 주는 셈입니다.
$DATA 속성에 자신이 사용하는 클러스터에 대한 정보를 갖고 있습니다.
$BITMAP 속성에 MFT 엔트리의 할당 상태를 기록합니다.
$MFT 파일은 작게 시작하여, 파일 및 디렉토리가 늘어나면서 점점 더 커집니다.
MFT Zone
MFT는 매우 중요한 데이터이기 때문에 클러스터 여기저기에 산재(조각)해 있으면 안됩니다.
윈도우는 장래 MFT 크기가 커질 것을 예상하여 최대한 다른 일반 파일들이 사용할 수 없게끔 일정 공간을 비워 둡니다.
보통 볼륨의 12.5% 정도를 MFT Zone으로 비워 둡니다.
$MFT 파일과 MFT와의 관계
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (09) - $Volume과 $AttrDef (0) | 2023.07.09 |
|---|---|
| [File System] NTFS (08) - $MFTMirr와 $Boot (0) | 2023.07.07 |
| [File System] NTFS (06) - 인덱스 (0) | 2023.07.02 |
| [File System] NTFS (05) - Sparse 속성과 압축 속성 (0) | 2023.06.30 |
| [File System] NTFS (04) - 기본 속성 (0) | 2023.06.27 |