안녕하세요. 도깬리 포렌식스 입니다.
오늘은 MFT 엔트리 데이터 구조체에 대해 알아 보겠습니다. 모두 화이팅하세요!!!
MFT 엔트리 (File Record)
NTFS의 핵심입니다.
파일과 디렉토리에 관한 엔트리입니다.
보통 1,024바이트 크기 (부트섹터에서 정함)를 갖습니다.
Fixup 배열을 사용합니다. (즉, 각 섹터의 마지막 2바이트는 시그너처임)
기본 MFT엔트리의 데이터 구조체
| 바이트 범위 | 설명 |
| 0~3 | 시그너처 (FILE), 오류가 발견되면 일부 엔트리는 ‘BADD’로 표시 |
| 4~5 | Fixup 배열 오프셋 |
| 6~7 | Fixup 배열에 있는 엔트리 개수 |
| 8~15 | $Logfile 순서 번호 (LSN) |
| 16~17 | 순서 값, EnCase에서는 File Identifier로 표시됨 |
| 18~19 | 링크 카운트 |
| 20~21 | 첫 번째 속성의 오프셋 |
| 22~23 | 플래그 (사용 여부와 디렉토리인지 여부) |
| 24~27 | MFT 엔트리에서 실제로 사용되고 있는 크기 |
| 28~31 | MFT 엔트리에 할당된 크기 |
| 32~39 | 기준 레코드의 파일 참조 (파일에 1개 이상의 MFT 엔트리가 필요한 경우, 추가적인 엔트리는 기준 엔트리의 파일 참조를 포함) |
| 40~41 | 다음 속성 ID |
| 42~1023 | 속성과 Fixup 값 (파일의 속성들은 파일의 마지막임을 의미하는 표시자인 0xffffffff 으로 끝남. 속성의 나머지는 ‘0’으로 채워짐) |
분석 예제
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (26) - $STANDARD_INFORMATION 속성 (0) | 2023.08.16 |
|---|---|
| [File System] NTFS (25) - NTFS의 속성 데이터 (0) | 2023.08.14 |
| [File System] NTFS (23) - Fixup 배열과 데이터 무결성 (0) | 2023.08.09 |
| [File System] NTFS (22) - 루트 디렉토리, 재파싱 지점, 오브젝트 식별자 (0) | 2023.08.07 |
| [File System] NTFS (21) - 파일이름과 디렉토리 인덱스 (0) | 2023.08.05 |