안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 '클러스터'와 '$Bitmap'에 대해 알아보겠습니다. 모두 화이팅하세요!!!
클러스터
‘거주형’ 속성은 MFT 엔트리에 내용을 저장합니다.
‘비거주형’ 속성은 클러스터에 내용을 저장합니다.
NTFS 파일시스템의 첫 번째 섹터는 클러스터 0번 입니다.
섹터주소 변환 방법 : FAT보다 훨씬 간단합니다.
SECTOR = CLUSTER * sectors_per_cluster
$Boot는 항상 첫 번째 클러스터에만 할당합니다.
$Bitmap 파일
MFT 엔트리 6번입니다.
$DATA 속성에서 파일시스템 내 각 클러스터의 할당여부를 1개의 비트로 표현합니다
즉, 할당되어 있다면 해당 Bit가 1로 설정, 반대의 경우 0으로 설정됩니다.
비교 개념
$MFT의 $BITMAP 속성 : MFT 엔트리의 할당 정보를 관리합니다.
. 의 $BITMAP 속성 : Index 엔트리의 할당 정보를 관리합니다.
$Bitmap 메타파일의 $DATA : 클러스터의 할당 정보를 관리합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (12) - 파일시스템 레이아웃과 할당 알고리즘 (0) | 2023.07.15 |
|---|---|
| [File System] NTFS (11) - $BadClus 파일 (0) | 2023.07.13 |
| [File System] NTFS (09) - $Volume과 $AttrDef (0) | 2023.07.09 |
| [File System] NTFS (08) - $MFTMirr와 $Boot (0) | 2023.07.07 |
| [File System] NTFS (07) - $MFT (0) | 2023.07.05 |