안녕하세요. 도깬리 포렌식스 입니다.
오늘은 MFT 엔트리의 속성 중 가장 중요한 $STANDARD_INFORMATION 속성에 대해 알아보겠습니다. 모두 화이팅 하세요!!!
$STANDARD_INFORMATION 속성
속성 타입 ID : 16
항상 ‘거주형’ 데이터 입니다.
모든 파일과 디렉토리에 존재하는 속성입니다.
그 어떤 속성보다 가장 먼저 위치합니다.
| 바이트 범위 | 설명 |
| 0~7 | 파일 생성 시간 |
| 8~15 | 파일 변경 시간 |
| 16~23 | MFT 변경 시간 |
| 24~31 | 파일 접근 시간 |
| 32~35 | 플래그 (0001 : 읽기전용, 0002 : 숨김, 0004 : 시스템, 0020 : 아카이브, 0040 : 장치, 0080 : 일반, 0100 : 임시, 0200 : 스파스 파일, 0400 : 재파싱 지점, 0800 : 압축, 1000 : 오프라인, 2000 : 인덱스에 있는 내용이 아님, 4000 : 암호화) |
| 36~39 | 버전의 최대 번호 |
| 40~43 | 버전 번호 |
| 44~47 | 클래스 ID |
| 48~51 | 소유자 ID (버전 3.0 이상) |
| 52~55 | 보안 ID (버전 3.0 이상) |
| 56~63 | 부여된 할당량 (버전 3.0 이상) |
| 64~71 | 업데이트 순서 번호 (USN, 버전 3.0 이상) |
MAC 시간 정보 분석
1601년 1월 1일 UTC로부터 100나노초 단위로 저장된 정보입니다.
$FILE_NAME에도 동일한 시간 정보가 기록되지만, 윈도우가 파일의 속성에서 보여주고, 실제로 갱신이 일어나는 시간 정보는 $STANDARD_INFORMATION 시간 정보입니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (28) - $DATA, $INDEX_ROOT, $INDEX_ALLOCATION 속성 (0) | 2023.08.20 |
|---|---|
| [File System] NTFS (27) - $FILE_NAME 속성 (0) | 2023.08.18 |
| [File System] NTFS (25) - NTFS의 속성 데이터 (0) | 2023.08.14 |
| [File System] NTFS (24) - MFT 엔트리 구조체(File Record) (0) | 2023.08.12 |
| [File System] NTFS (23) - Fixup 배열과 데이터 무결성 (0) | 2023.08.09 |