[EnCase] NTFS 분석 (1)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS 첫 시간입니다. NTFS는 New Technology File System의 줄인 말입니다.  윈도우 시스템의 기본 파일시스템이라고 할 수 있겠습니다. 시작해볼까요?

 

NTFS 개요

Windows XP는 FAT32, NTFS에서 모두 설치 가능하나, Windows Vista 이후로는 NTFS에서만 설치 가능합니다.

USB 이동식 드라이브에도 NTFS 포맷을 설정할 수 있습니다.

NTFS 볼륨의 모든 개체에 대한 정보는 $MFT(Master File Table)에 저장됩니다.

MFT 엔트리의 순번은 File Identifier 컬럼에서 확인 가능합니다.

 

주요 메타데이터 파일

$MFT

FAT 시스템의 Directory Entry 역할을 합니다.

개체의 이름, 개체가 폴더인지 파일인지 여부, 개체의 시작 시점과 크기, 개체의 시간 정보 등을 포함합니다.

‘책’ 에서의 ‘목차’ 부분과 비슷한 역할을 합니다.

MFT의 각각의 엔트리는 1024 바이트 크기를 갖습니다.

600바이트 정도의 크기에 데이터를 저장 가능합니다.

 

 

파일의 경우 보통 3개의 속성을 갖습니다.

Standard Information Attribute (표준 정보 속성)

파일의 날짜 시간, 보안 식별자 등에 대한 정보를 저장합니다.

 

File Name Attribute (파일 이름 속성)

파일의 이름, 긴 파일 이름을 저장합니다.

파일이름은 유니코드로 저장합니다.

 

Data Attribute (데이터 속성)

데이터 또는 데이터에 대한 포인터(위치와 크기정보)를 저장합니다.

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)