안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NFTS에서 $FILE_NAME 속성에 대해 알아 보겠습니다. 모두 화이팅 하세요!!!
$FILE_NAME 속성
속성 타입 ID : 48
파일 또는 디렉토리의 이름과 부모 디렉토리에 관한 정보를 저장해 둔 속성입니다.
디렉토리 인덱스에도 존재하는 속성입니다.
$FILE_NAME 속성은 MFT Entry에도 존재하고, INDEX Entry에도 존재하는 이른 바, ‘중복 속성’ 입니다.
그러나 정보의 갱신은 INDEX Entry에 있는 $FILE_NAME 속성에서만 일어납니다.
다만, 파일의 이름이 변경되는 경우에는 MFT Entry와 INDEX Entry 모두 $FILE_NAME 속성이 갱신됩니다.
항상 ‘거주형’ 속성입니다.
일반적으로 $STANDARD_INFORMATION 속성 다음에 위치하는데, 만약 한 개의 파일이 여러 개의 MFT Entry로 구성되어 있다면 $STANDARD_INFORMATION, $ATTRIBUTE_LIST, $FILE_NAME 순으로 위치하게 됩니다.
데이터 구조체
| 바이트 범위 | 설명 |
| 0~7 | 부모 디렉토리의 파일 참조 주소값 |
| 8~15 | 파일 생성 시간 |
| 16~23 | 파일 수정 시간 |
| 24~31 | MFT 수정 시간 |
| 32~39 | 파일 접근 시간 |
| 40~47 | 파일의 할당된 크기 |
| 48~55 | 파일의 실제 크기 |
| 56~59 | 플래그 (0001 : 읽기전용, 0002 : 숨김, 0004 : 시스템, 0020 : 아카이브, 0040 : 장치, 0080 : 일반, 0100 : 임시, 0200 : 스파스 파일, 0400 : 재파싱 지점, 0800 : 압축, 1000 : 오프라인, 2000 : 인덱스에 있는 내용이 아님, 4000 : 암호화) |
| 60~63 | 재파싱 값 |
| 64~64 | 이름 길이 |
| 65~65 | 네임스페이스 (이름 항목에 저장된 값이 어떤 형식인지 보여줌, 0 : POSIX 형식, 1 : WIN32 형식, 2 : DOS 형식, 3 : WIN32 & DOX 형식) |
| 66 ~ | 이름 (UTF-16으로 인코딩) |
짧은 이름 파일(SFN)과 긴 이름 파일(LFN)
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (29) - 인덱스 엔트리 구조체 (0) | 2023.08.22 |
|---|---|
| [File System] NTFS (28) - $DATA, $INDEX_ROOT, $INDEX_ALLOCATION 속성 (0) | 2023.08.20 |
| [File System] NTFS (26) - $STANDARD_INFORMATION 속성 (0) | 2023.08.16 |
| [File System] NTFS (25) - NTFS의 속성 데이터 (0) | 2023.08.14 |
| [File System] NTFS (24) - MFT 엔트리 구조체(File Record) (0) | 2023.08.12 |