안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $DATA 속성에 대해 알아 보겠습니다. 모두 화이팅하세요!!!
$DATA 속성
파일의 내용이 저장되어 있습니다.
어떤 형식이나 정의된 값을 갖고 있지 않습니다.
ID : 128 입니다.
크기에는 제한이 없습니다. 다만 데이터의 크기가 700바이트 이상이 되면 $DATA속성을 ‘거주형’에서 ‘비거주형’으로 전환시킵니다.
일반적인 경우 $DATA 속성은 MFT 엔트리 상에서 가장 마지막에 위치합니다.
ADS (Alternate Data Streame)
하나의 파일/디렉토리에 여러 개의 $DATA 속성이 존재할 수도 있습니다.
추가적으로 존재하는 $DATA 속성을 ADS라고 부릅니다.
기본적으로 $DATA 속성에는 이름이 없지만, ADS에는 반드시 속성 이름이 있습니다.
윈도우에서 사용자가 파일에서 마우스 오른쪽 클릭 --> 속성 --> 요약 정보에 데이터를 입력할 경우, 이 정보는 추가적인 $DATA (ADS) 속성으로 저장됩니다.
추가적인 $DATA 속성은 데이터를 숨기는 용도로 사용 가능합니다.
CMD 모드에서도 쉽게 ADS를 만들 수 있습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (17) - MFT 엔트리와 할당 알고리즘 (0) | 2023.07.28 |
|---|---|
| [File System] NTFS (16) - $ATTRIBUTE_LIST (0) | 2023.07.26 |
| [File System] NTFS (14) - $FILE_NANE (0) | 2023.07.19 |
| [File System] NTFS (13) - $STANDARD_INFORMATION (0) | 2023.07.17 |
| [File System] NTFS (12) - 파일시스템 레이아웃과 할당 알고리즘 (0) | 2023.07.15 |