[File System] NTFS (21) - 파일이름과 디렉토리 인덱스

안녕하세요, 도깬리 포렌식스 입니다.

오늘은 파일이름과 디렉토리 인덱스에 대해 알아보겠습니다.

 

파일이름 매핑 분석

파일과 파일 이름이 어떻게 연결되는지 알아 봅니다.

 

디렉토리 인덱스

NTFS의 디렉토리도 MFT Entry를 갖고 있으며, 아래의 위치에 ‘디렉토리’임을 표시하는 플래그를 갖고 있습니다.

- MFT Entry Header

- $STANDARD_INFORMATION

- $FILE_NAME

 

디렉토리 인덱스의 인덱스 엔트리들은 파일 참조 주소와 $FILE_NAME 속성을 갖고 있습니다.

파일이름이 긴 경우, 동일한 파일에 여러 개의 $FILE_NAME 속성이 인덱스에 존재할 수 있습니다.

디렉토리안에 하위 디렉토리 또는 파일이 존재하게 되면, 아래와 같은 속성에 각각의 디렉토리, 파일에 대한 $FILE_NAME 속성을 저장(색인)하여 둡니다. 아래의 속성은 모두 $I30 이라는 동일한 속성이름으로 저장됩니다.

 

$INDEX_ROOT

최상위 인덱스 노드를 저장합니다

인덱스 크기가 아주 작은 경우, $INDEX_ROOT 속성(거주형)에만 해당 디렉토리 또는 파일의 $FILE_NAME에 해당하는 정보가 저장됩니다.

 

$INDEX_ALLOCATION

인덱스 크기가 큰 경우, $INDEX_ALLOCATION 속성(비거주형)에서 외부 클러스터의 위치값을 갖고 있으며, 해당 외부 클러스터에는 ‘INDX’라는 시그너처를 가진 Index Record(=Index Node, 4KB)가 존재하게 됩니다'

Index Record는 여러 개의 Index Entry들로 구성되고, 디렉토리인 경우 Index Entry는 $FILE_NAME 속성에 해당하는 정보를 갖게 됩니다.

 

$BITMAP

해당 디렉토리의 Index 할당 정보를 갖고 있습니다.

 

$INDEX_ROOT에만 인덱스가 저장된 경우

 

 

$INDEX_ALLOCATION 속성에 인덱스가 저장된 경우

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)