도깬리포렌식스

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 NTFS 분석 두번째 시간입니다. 화이팅하세요. Resident Data (상주형 데이터) 데이터가 $MFT의 엔트리 내에 존재하는 유형입니다. 예) 인터넷 쿠키 파일, 작은 GIF 이미지, 작은 텍스트 파일 등 상주형 데이터의 특성 논리적 크기와 물리적 크기가 동일합니다. 파일 슬랙이 없습니다. 파일이 일반적으로 섹터나 클러스터의 첫번째 바이트에서 시작되지 않습니다. File Identifier 값 * 1024(MFT 엔트리 크기) = 해당 파일에 대한 MFT 엔트리의 실제 시작 바이트 오프셋 값 Non-resident Data (비상주형 데이터) 어떤 개체의 데이터가 너무 커서 $MFT 엔트리 안에 모두 저장할 수 없는 경우, 해당 데이터는 MFT 엔트리가..

안녕하세요. 도깬리 포렌식스 입니다. 오늘은 NTFS 첫 시간입니다. NTFS는 New Technology File System의 줄인 말입니다. 윈도우 시스템의 기본 파일시스템이라고 할 수 있겠습니다. 시작해볼까요? NTFS 개요 Windows XP는 FAT32, NTFS에서 모두 설치 가능하나, Windows Vista 이후로는 NTFS에서만 설치 가능합니다. USB 이동식 드라이브에도 NTFS 포맷을 설정할 수 있습니다. NTFS 볼륨의 모든 개체에 대한 정보는 $MFT(Master File Table)에 저장됩니다. MFT 엔트리의 순번은 File Identifier 컬럼에서 확인 가능합니다. 주요 메타데이터 파일 $MFT FAT 시스템의 Directory Entry 역할을 합니다. 개체의 이름,..