[File System] NTFS (08) - $MFTMirr와 $Boot

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 $MFTMirr과 $Boot에 대해 알아보겠습니다. 모두 화이팅 하세요!!!

 

$MFTMirr 파일

MFT Entry는 중요한 데이터이기 때문에 복사본(파일시스템의 중간 지점)을 둡니다.

MFT Entry 1번 입니다.

비거주 속성입니다.

$DATA 속성에 4개의 MFT Entry (0번 ~ 3번 Entry, $MFT, $MFTMirr, $LogFile, $Volume)에 대한 복사본을 갖고 있습니다.

MFT Entry의 내용만 백업하여 두기 때문에 MFT Entry의 내용만 복구 가능합니다.

 

 

$Boot 파일

MFT 엔트리 7번 입니다.

비거주 속성입니다.

$DATA 속성은 부트섹터의 고정된 위치(0번 섹터)를 가리킵니다.

MS는 일반적으로 $Boot에 파일시스템의 첫 16개 섹터를 할당합니다.

 

부트섹터

클러스터 크기, 섹터 수, MFT 시작 클러스터 주소, MFT 엔트리 크기 등에 대한 정보를 갖습니다.

시그너처 : 0xAA55

 

부트섹터의 백업본

Windows 2003 : 볼륨의 마지막 섹터 또는 볼륨의 중간 지점에 존재합니다.

Windows NT 4.0, 2000, XP : 볼륨의 마지막 섹터에 존재합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)