안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $ATTRIBUTE_LIST 속성에 대해 알아 보겠습니다.
$ATTRIBUTE_LIST 속성
어떤 파일 또는 디렉토리의 속성이 너무 크거나 많아서, 하나의 MFT Entry에 모두 담을 수 없게 되는 경우, 여러 개의 MFT Entry에 나누어 저장하게 됩니다.
이론적으로 하나의 파일 또는 디렉토리는 65,536개의 속성을 포함할 수 있습니다.
여러 개의 MFT Entry에 속성을 나누어 저장하게 되는 경우, $ATTRIBUTE_LIST속성은 어떤 속성이 어느 MFT Entry에 저장되어 있는 지에 관한 정보를 제공합니다.
$ATTRIBUTE_LIST 속성은 여러 개의 MFT Entry중 기준이 되는 Base MFT Entry에 위치해야 합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (18) - MFT 찾기 등 요약 (0) | 2023.07.30 |
|---|---|
| [File System] NTFS (17) - MFT 엔트리와 할당 알고리즘 (0) | 2023.07.28 |
| [File System] NTFS (15) - $DATA와 ADS (0) | 2023.07.23 |
| [File System] NTFS (14) - $FILE_NANE (0) | 2023.07.19 |
| [File System] NTFS (13) - $STANDARD_INFORMATION (0) | 2023.07.17 |