안녕하세요. 도깬리 포렌식스 입니다. 여러분은 '고아 파일(Orphan Files)'을 아시나요? 부모 없는 자식은 존재할 수 없습니다. 아무리 고아라도 부모의 존재를 부정할 수 없죠. 디지털 세계에도 '고아'가 있습니다. 발견된 고아 파일에서 부모를 찾아가 복원에 이르는 메커니즘을 살펴 봅니다. Tracking Orphans in the $MFT $MTF는 NTFS의 핵심입니다. 모든 엔트리의 크기는 1024 바이트 입니다 일련의 ‘속성(Attributes)’으로 기록되어 있습니다. 모든 엔트리는 아래의 것을 포함합니다. Header ‘FILE’ 일반적으로 56바이트이다. 0x10000000 Standard Information Attribute (SIA) MAC date and time 정보를 포함합..
