안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS에서 $Bitmap 파일과 $Volume 파일 구조체에 대해 알아보겠습니다. 모두 화이팅하세요!!!
$Bitmap 파일
MFT 엔트리 6번 입니다.
해당 볼륨의 클러스터 할당 상태를 기록합니다.
클러스터 할당 정보는 $DATA 속성에 기록됩니다.
각각의 클러스터는 $Bitmap 파일의 $DATA 속성의 하나의 비트와 각각 대응합니다.
할당 되었으면 ‘1’로 설정, 비할당이면 ‘0’으로 설정됩니다.
$Volume 파일
MFT 엔트리 3번 입니다.
$VOLUME_NAME과 $VOLUME_INFORMATION 속성을 포함합닏.
$VOLUME_NAME
UTF-16 유니코드 형식으로 볼륨 이름을 갖고 있습니다.
$VOLUME_INFORMATION
파일시스템의 버전을 갖습니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] NTFS (32) - $LogFile, $UsnJrnl 구조체 (0) | 2023.08.30 |
|---|---|
| [File System] NTFS (30) - $MFT, $Boot 구조체 (0) | 2023.08.24 |
| [File System] NTFS (29) - 인덱스 엔트리 구조체 (0) | 2023.08.22 |
| [File System] NTFS (28) - $DATA, $INDEX_ROOT, $INDEX_ALLOCATION 속성 (0) | 2023.08.20 |
| [File System] NTFS (27) - $FILE_NAME 속성 (0) | 2023.08.18 |