안녕하세요. 도깬리 포렌식스 입니다. 오늘은 MFT 엔트리 데이터 구조체에 대해 알아 보겠습니다. 모두 화이팅하세요!!! MFT 엔트리 (File Record) NTFS의 핵심입니다. 파일과 디렉토리에 관한 엔트리입니다. 보통 1,024바이트 크기 (부트섹터에서 정함)를 갖습니다. Fixup 배열을 사용합니다. (즉, 각 섹터의 마지막 2바이트는 시그너처임) 기본 MFT엔트리의 데이터 구조체 바이트 범위 설명 0~3 시그너처 (FILE), 오류가 발견되면 일부 엔트리는 ‘BADD’로 표시 4~5 Fixup 배열 오프셋 6~7 Fixup 배열에 있는 엔트리 개수 8~15 $Logfile 순서 번호 (LSN) 16~17 순서 값, EnCase에서는 File Identifier로 표시됨 18~19 링크 카운트..