안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $FILE_NAME 속성 데이터에 대해 알아보겠습니다. 모두 화이팅하세요!!!
$FILE_NAME 속성
모든 파일과 디렉토리에는 MFT 엔트리 안에 최소한 한 개 이상의 $FILE_NAME 속성이 존재합니다.
ID : 48번 입니다.
파일 이름의 길이에 따라 그 크기는 가변적 (기본적인 길이는 66바이트)입니다.
UTF-16으로 파일 이름을 저장합니다.
일반적인 경우 $STANDARD_INFORMATION 속성 바로 다음에 위치합니다.
다만, 파일이나 디렉토리가 여러 개의 MFT Entry를 사용하는 경우라면 $STANDARC_INFORMATION, $ATTRIBUTE_LIST 다음에 오기도 합니다.
$FILE_NAME 속성은 MFT Entry 에도 존재하지만, 빠른 검색을 위하여 Index Entry에도 존재합니다.
즉 동일한 $FILE_NAME 속성이 양쪽 엔트리 모두 동시에 저장됩니다.
일반적으로 정보의 갱신은 Index Entry의 $FILE_NAME 속성에서만 일어납니다.
그러나 파일의 이름이 변경될 경우에는 MFT Entry의 $FILE_NAME 속성도 갱신됩니다.
파일 이름이 8자 이상이라면 2개의 $FILE_NAME 속성을 갖게 됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (16) - $ATTRIBUTE_LIST (0) | 2023.07.26 |
|---|---|
| [File System] NTFS (15) - $DATA와 ADS (0) | 2023.07.23 |
| [File System] NTFS (13) - $STANDARD_INFORMATION (0) | 2023.07.17 |
| [File System] NTFS (12) - 파일시스템 레이아웃과 할당 알고리즘 (0) | 2023.07.15 |
| [File System] NTFS (11) - $BadClus 파일 (0) | 2023.07.13 |