안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS 데이터 구조에서 Fixup 배열에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
Fixup 배열이란
NTFS에서 데이터를 쓸 때
각 섹터의 마지막 2 바이트를 특정한 시그너처 값으로 바꾸고, 원래의 데이터는 ‘배열’에 기록합니다.
NTFS에서 데이터를 읽을 때
각 섹터의 마지막 2 바이트가 특정 시그너처와 동일한지 검증하고, ‘배열’에 기록된 원래 데이터를 읽어 들입니다.
이렇게 하는 이유는
모든 섹터의 시그너처가 동일한지 확인하기 위함입니다.
즉 데이터의 무결성을 검증하는 것 입니다.
Fixup 값을 이용하는 데이터는 아래와 같습니다.
- MFT Entries
- INDEX Records
- RCRD Records
- RSTR Records
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (25) - NTFS의 속성 데이터 (0) | 2023.08.14 |
|---|---|
| [File System] NTFS (24) - MFT 엔트리 구조체(File Record) (0) | 2023.08.12 |
| [File System] NTFS (22) - 루트 디렉토리, 재파싱 지점, 오브젝트 식별자 (0) | 2023.08.07 |
| [File System] NTFS (21) - 파일이름과 디렉토리 인덱스 (0) | 2023.08.05 |
| [File System] NTFS (20) - MFT 분석 방법 요약 (0) | 2023.08.03 |