[EnCase] NTFS 분석 (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS 분석 두번째 시간입니다. 화이팅하세요.

 

Resident Data (상주형 데이터)

데이터가 $MFT의 엔트리 내에 존재하는 유형입니다.

예) 인터넷 쿠키 파일, 작은 GIF 이미지, 작은 텍스트 파일 등

 

상주형 데이터의 특성

논리적 크기와 물리적 크기가 동일합니다.

파일 슬랙이 없습니다.

파일이 일반적으로 섹터나 클러스터의 첫번째 바이트에서 시작되지 않습니다.

File Identifier 값 * 1024(MFT 엔트리 크기) = 해당 파일에 대한 MFT 엔트리의 실제 시작 바이트 오프셋 값

 

 

Non-resident Data (비상주형 데이터)

어떤 개체의 데이터가 너무 커서 $MFT 엔트리 안에 모두 저장할 수 없는 경우, 해당 데이터는 MFT 엔트리가 아닌 외부 클러스터에 저장됩니다.

MFT 엔트리에는 속성 정보와 Run Lists 또는 Data Runs만 저장하고, 실제 데이터는 외부 클러스터에 저장하는 경우를 말합니다.

 

Run Lists, Data Runs

외부 클러스터의 시작점과 길이를 저장합니다.

파일의 일부가 MFT 엔트리에 저장되고, 나머지가 외부 클러스터에 저장되는 것이 아니라, 파일의 내용 전체가 외부 클러스터에 저장됩니다.

상주형 데이터는 데이터의 용량이 커지면서 비상주형 데이터가 될 수 있지만, 비상주형 데이터는 절대로 상주형 데이터가 될 수 없습니다.

FAT과는 달리, 파일이 조각나 저장된 경우, 해당 파일을 삭제하더라도 그 조각난 정보가 남아 있게 됩니다.

이러한 측면에서만 보면, NTFS가 FAT 보다 복구 가능성이 더 많습니다.

 

 

비상주형 데이터의 경우, 데이터가 조각나 있더라도 $MFT의 엔트리 속성정보와 RunLists를 이용하여 복구 가능합니다.

데이터의 조각 여부는 File Extents 탭에서 확인 가능합니다.

 

 

NTFS에서 파일을 삭제하게 되면 MFT의 엔트리의 플래그 정보가 삭제되었음을 의미하는 값으로 바뀌게 되고, 해당 엔트리는 새로운 개체가 생성되면서 덮어씌워지게 됩니다.

이러한 이유로 FAT 볼륨 보다 NTFS 볼륨이 삭제된 개체가 훨씬 더 적게 보여지게 되는 겁니다.

따라서, RunLists가 잔존함으로 인하여 복구 가능성이 많아 보이나, 사실상 MFT Entry가 덮어 씌워져 버리기 때문에 결과적으로는 FAT 보다 복구율이 떨어질 수 밖에 없는 구조입니다.

 

 

$Bitmap

FAT 시스템의 File Allocation Table과 비슷한 역할을 합니다.

각각의 비트는 클러스터의 할당 여부를 나타냅니다.

‘0’ : 비어 있는 클러스터 (사용 가능한 클러스터)

‘1’ : 이미 할당된 클러스터

‘도서관’의 ‘좌석현황판’ 과 비슷합니다.

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)