안녕하세요. 도깬리 포렌식스 입니다.
오늘은 루트 디렉토리와, 재파싱 지점, 오브젝트 식별자에 대해 알아보겠습니다. 모두 화이팅하세요!!!
루트 디렉토리
NTFS의 루트 디렉토리는 반드시 ‘.’ 이름을 갖는 MFT엔트리 5번에 위치해야 합니다.
검색의 시작점이 됩니다.
재파싱 지점 ($REPARSE_POINT)
무엇을 연결하고 있는지에 대한 정보를 포함하고 있는 특별한 파일 또는 디렉토리 입니다.
재파싱 지점은 E:\와 같은 드라이브 문자 대신 디렉토리에 볼륨을 마운트하기 위해 사용됩니다.
윈도우에서 거의 사용하지 않는 속성입니다.
오브젝트 식별자 ($OBJECT_ID)
파일이나 디렉토리는 128비트의 고유한 식별자를 갖습니다.
이 식별자는 파일이 이동되거나, 파일이름이 변경되어도 그대로 유지됩니다.
이 식별자는 $ObjId 라는 메타데이터 파일안에 Index 형태로 존재합니다.
파일이름 관련 분석기술 요약
파일 이름 범주 분석은 파일 이름을 통해 파일과 디렉토리의 위치를 확인하는 것 입니다.
디렉토리의 위치를 확인하고, 그 내용을 해석하여 파일 관련 메타데이터의 위치를 확인합니다.
MFT 엔트리 5번 확인 --> $INDEX_ROOT, $INDEX_ALLOCATION 속성 조사 --> Index Entry 해석
Index Entry의 할당 상태는 $BITMAP 속성으로 판단합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (24) - MFT 엔트리 구조체(File Record) (0) | 2023.08.12 |
|---|---|
| [File System] NTFS (23) - Fixup 배열과 데이터 무결성 (0) | 2023.08.09 |
| [File System] NTFS (21) - 파일이름과 디렉토리 인덱스 (0) | 2023.08.05 |
| [File System] NTFS (20) - MFT 분석 방법 요약 (0) | 2023.08.03 |
| [File System] NTFS (19) - MFT 분석시 고려 사항 (0) | 2023.08.01 |