안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS의 $Volume 파일과 $AttrDef 파일에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
$Volume 파일
MFT 엔트리 3번 입니다.
볼륨 레이블과 NFTS의 버전 정보를 갖습니다.
$VOLUME_NAME
볼륨의 이름을 유니코드로 저장하고 있습니다.
$VOLUME_INFORMATION
NTFS 버전과 오류 상태를 저장하고 있습니다.
$DATA 속성에는 아무런 데이터가 없습니다. (크기가 0)
$AttrDef 파일
MFT 엔트리 4번 입니다.
볼륨에서 사용되는 모든 속성에 대한 정보(각각의 속성에 대한 Type ID, 이름 등)가 기록되어 있습니다.
$AttrDef Entry에서 Flag(Offset 140 ~ 143)에는 해당 속성의 저장 형태(상주형, 비상주형)와 Index의 유무에 대한 정보를 갖고 있습니다.
상주형인 경우
$STANDARD_INFORMATION
$FILE_NAME
$OBJECT_ID
$VOLUME_NAME
$VOLUME_INFORMATION
$INDEX_ROOT
비상주형인 경우
$ATTRIBUTE_LIST
$SECURITY_DESCRIPTOR
$INDEX_ALLOCATION
$BITMAP
$REPARSE_POINT
인덱스에 담기는 속성
$FILE_NAME
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (11) - $BadClus 파일 (0) | 2023.07.13 |
|---|---|
| [File System] NTFS (10) - 클러스터와 $Bitmap (0) | 2023.07.11 |
| [File System] NTFS (08) - $MFTMirr와 $Boot (0) | 2023.07.07 |
| [File System] NTFS (07) - $MFT (0) | 2023.07.05 |
| [File System] NTFS (06) - 인덱스 (0) | 2023.07.02 |