안녕하세요. 도깬리 포렌식스입니다.
오늘은 NTFS에서 $STANDARD_INFORMATION 속성 데이터에 대해 알아보겠습니다. 모두 화이팅 하세요!!!
$STANDARD_INFORMATION 속성
모든 파일, 디렉토리에 존재합니다.
다만 Non-base MFT Entry인 경우에는 이 속성이 존재하지 않을 수 있습니다.
파일생성 날짜/시간, 파일 소유자, 보안, 할당 정책에 관한 정보가 저장됩니다.
ID : 16 입니다.
윈도우 XP의 경우 72바이트의 고정된 크기를 갖습니다.
날짜/시간 정보 (예제이미지 : NTFS_1GB)
UTC(Universal Time Coordinated) 형식으로 저장됩니다.
1961년 1월 1일을 기준으로 1/100초 단위로 계산되어 64비트로 저장됩니다.
날짜/시간 정보는 $FILE_NAME 속성에도 존재합니다.
다만 윈도우 XP의 경우 $STANDARD_INFORMATION 속성의 시간정보를 참조하는 것이 바람직합니다.
생성시각
파일이 생성된 시각입니다.
수정시각
$DATA, $INDEX 속성의 내용(파일의 내용)이 마지막으로 수정된 시각입니다.
MFT 수정시각
파일의 메타데이터(MFT의 내용)가 마지막으로 수정된 시각입니다.
접근시각
파일의 내용에 마지막으로 접근한 시각입니다.
플래그 정보
읽기전용 (Read Only)
숨김 (Hidden)
시스템 (System)
아카이브 (Archive)
장치 (Device)
일반 (Normal)
임시 (Temporary)
스파스 파일 (Sparse)
리파스 포인터 (Reparse Point)
압축
오프라인
인덱스에 담긴 내용이 아님
암호화됨
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (15) - $DATA와 ADS (0) | 2023.07.23 |
|---|---|
| [File System] NTFS (14) - $FILE_NANE (0) | 2023.07.19 |
| [File System] NTFS (12) - 파일시스템 레이아웃과 할당 알고리즘 (0) | 2023.07.15 |
| [File System] NTFS (11) - $BadClus 파일 (0) | 2023.07.13 |
| [File System] NTFS (10) - 클러스터와 $Bitmap (0) | 2023.07.11 |