[File System] NTFS (10) - 클러스터와 $Bitmap

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 '클러스터'와 '$Bitmap'에 대해 알아보겠습니다. 모두 화이팅하세요!!!

 

클러스터

‘거주형’ 속성은 MFT 엔트리에 내용을 저장합니다.

‘비거주형’ 속성은 클러스터에 내용을 저장합니다.

NTFS 파일시스템의 첫 번째 섹터는 클러스터 0번 입니다.

섹터주소 변환 방법 : FAT보다 훨씬 간단합니다.

SECTOR = CLUSTER * sectors_per_cluster

$Boot는 항상 첫 번째 클러스터에만 할당합니다.

 

$Bitmap 파일

MFT 엔트리 6번입니다.

$DATA 속성에서 파일시스템 내 각 클러스터의 할당여부를 1개의 비트로 표현합니다

즉, 할당되어 있다면 해당 Bit가 1로 설정, 반대의 경우 0으로 설정됩니다.

 

비교 개념

$MFT의 $BITMAP 속성 : MFT 엔트리의 할당 정보를 관리합니다.

. 의 $BITMAP 속성 : Index 엔트리의 할당 정보를 관리합니다.

$Bitmap 메타파일의 $DATA : 클러스터의 할당 정보를 관리합니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)