안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS의 속성 데이터 구조체에 대하여 알아 보겠습니다. 모두 화이팅하세요!!!
속성 헤더
속성의 첫 16바이트의 데이터 구조체(공통 부분)입니다.
| 바이트 범위 | 설명 |
| 0~3 | 속성 타입 식별자 |
| 4~7 | 속성 길이 |
| 8~8 | 거주/비거주 플래그 |
| 9~9 | 이름 길이 |
| 10~11 | 이름 오프셋 |
| 12~13 | 플래그 |
| 14~15 | 속성 식별자 |
‘거주형’ 속성의 데이터 구조체
| 바이트 범위 | 설명 |
| 0~15 | 일반적인 헤더 |
| 16~19 | 내용 크기 |
| 20~21 | 내용 오프셋 |
‘비거주형’ 속성의 데이터 구조체
| 바이트 범위 | 설명 |
| 0~15 | 일반적인 헤더 |
| 16~23 | Runlist의 시작 VCN |
| 24~31 | Runlist의 끝 VCN |
| 32~33 | Runlist 오프셋 |
| 34~35 | 압축 유닛 크기 |
| 36~39 | 사용되지 않음 |
| 40~47 | 속성 내용의 할당된 크기 |
| 48~55 | 속성 내용의 실제 크기 |
| 56~63 | 속성 내용의 초기화된 크기 |
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (27) - $FILE_NAME 속성 (0) | 2023.08.18 |
|---|---|
| [File System] NTFS (26) - $STANDARD_INFORMATION 속성 (0) | 2023.08.16 |
| [File System] NTFS (24) - MFT 엔트리 구조체(File Record) (0) | 2023.08.12 |
| [File System] NTFS (23) - Fixup 배열과 데이터 무결성 (0) | 2023.08.09 |
| [File System] NTFS (22) - 루트 디렉토리, 재파싱 지점, 오브젝트 식별자 (0) | 2023.08.07 |