[File System] NTFS (31) - $Bitmap, $Volume 구조체

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 $Bitmap 파일과 $Volume 파일 구조체에 대해 알아보겠습니다. 모두 화이팅하세요!!!

 

$Bitmap 파일

MFT 엔트리 6번 입니다.

해당 볼륨의 클러스터 할당 상태를 기록합니다.

클러스터 할당 정보는 $DATA 속성에 기록됩니다.

각각의 클러스터는 $Bitmap 파일의 $DATA 속성의 하나의 비트와 각각 대응합니다.

할당 되었으면 ‘1’로 설정, 비할당이면 ‘0’으로 설정됩니다.

 

 

$Volume 파일

MFT 엔트리 3번 입니다.

$VOLUME_NAME과 $VOLUME_INFORMATION 속성을 포함합닏.

$VOLUME_NAME

UTF-16 유니코드 형식으로 볼륨 이름을 갖고 있습니다.

$VOLUME_INFORMATION

파일시스템의 버전을 갖습니다.

 

 

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)