File System Forensics
[File System] NTFS (25) - NTFS의 속성 데이터
도깬리
2023. 8. 14. 06:24
안녕하세요. 도깬리 포렌식스 입니다.
오늘은 NTFS의 속성 데이터 구조체에 대하여 알아 보겠습니다. 모두 화이팅하세요!!!
속성 헤더
속성의 첫 16바이트의 데이터 구조체(공통 부분)입니다.
| 바이트 범위 | 설명 |
| 0~3 | 속성 타입 식별자 |
| 4~7 | 속성 길이 |
| 8~8 | 거주/비거주 플래그 |
| 9~9 | 이름 길이 |
| 10~11 | 이름 오프셋 |
| 12~13 | 플래그 |
| 14~15 | 속성 식별자 |
‘거주형’ 속성의 데이터 구조체
| 바이트 범위 | 설명 |
| 0~15 | 일반적인 헤더 |
| 16~19 | 내용 크기 |
| 20~21 | 내용 오프셋 |
‘비거주형’ 속성의 데이터 구조체
| 바이트 범위 | 설명 |
| 0~15 | 일반적인 헤더 |
| 16~23 | Runlist의 시작 VCN |
| 24~31 | Runlist의 끝 VCN |
| 32~33 | Runlist 오프셋 |
| 34~35 | 압축 유닛 크기 |
| 36~39 | 사용되지 않음 |
| 40~47 | 속성 내용의 할당된 크기 |
| 48~55 | 속성 내용의 실제 크기 |
| 56~63 | 속성 내용의 초기화된 크기 |
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
