안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $BadClus 파일에 대해 알아 봅니다. 모두 화이팅 하세요!!!
$BadClus 파일
MFT Entry 8번 입니다.
볼륨에 배드 클러스터가 생길 때마다 NTFS는 해당 클러스터를 $BadClus 파일의 Cluster Run에 추가하고, 해당 클러스터는 접근을 하지 않게 됩니다.
불량 클러스터 관리 방법(비교개념)
FAT
FAT Entry의 상태값(예 : 0x?FFFFFF7)으로 표시합니다.
NTFS
$BadClus 파일의 클러스터 런에 해당 클러스터를 추가합니다.
2개의 $DATA 속성이 존재합니다.
$Data라는 이름의 $DATA속성
크기가 0인 거주형 속성입니다.
$Bad라는 이름의 $DATA속성
비거주형 속성으로 일정한 크기를 갖고 있지만, 불량 클러스터가 없을 경우 확인되는 클러스터 주소도 없게 됩니다.
즉, Sparse 형태의 파일입니다 (공간이 0으로 채워져 있으면 클러스터를 할당하지 않고, 공간을 절약합니다)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (13) - $STANDARD_INFORMATION (0) | 2023.07.17 |
|---|---|
| [File System] NTFS (12) - 파일시스템 레이아웃과 할당 알고리즘 (0) | 2023.07.15 |
| [File System] NTFS (10) - 클러스터와 $Bitmap (0) | 2023.07.11 |
| [File System] NTFS (09) - $Volume과 $AttrDef (0) | 2023.07.09 |
| [File System] NTFS (08) - $MFTMirr와 $Boot (0) | 2023.07.07 |