File System - NTFS (15)

계속해서 표준 속성의 데이터 구조체에 대해서 알아보자.

 * 참고 : 이번 글에서 다루는 속성들은 필자가 가지고 있는 이미지에 존재하지 않아 분석을 표로 대체한다.

[$DATA]
해당 속성은 고유한 구조체를 가지고 있지 않다. 헤더 이후로는 파일 내용 데이터만 존재한다. 타입 식별자는 128이며 크기는 정해져 있지 않다. 하지만 내용이 700byte 이상이라면 비거주 속성이 되어 클러스터가 할당 될 것이다. 

 

[$ATTRIBUTE_LIST]
해당 속성은 MFT 엔트리에 존재하는데 $STANDARD_INFORMATION 속성과 $FILE_NAME 속성 사이에 위치한다.
타입 식별자는 32이며, MFT 엔트리에 여러 속성들이 할당되어 엔트리 크기인 1024byte를 초과 할 때 사용된다.
해당 속성 내용으로는 기준 MFT 엔트리에 포함되려 했던 속성들의 엔트리 리스트가 목록화 되어 있다.
아래는 해당 속성의 내용인 속성 엔트리들의 오프셋 구조이다.

[그림 1 - $ATTRIBUTE_LIST 오프셋]

* 참고 : 속성 시작 VCN은 여러 MFT 엔트리들이 단일 속성을 설명해야 할 때 필요하다. 

[$OBJECT_ID]
해당 속성은 64 타입 식별자를 갖고, 이름 대신 파일을 지칭하는 128bit의 오브젝트 식별자를 포함하고 있다.
해당 속성은 간단한 구조로 되어 있다. 보통 아래와 같이 4개의 필드로 구성되어 있으나 보통 첫 번째 필드만 설정되어 있다.
 

[그림 2 - $OBJECT_ID 오프셋]

 * 참고 : \$Extend\ObjId 인덱스들은 파일의 오브젝트 ID로 정렬 된다.

[$REPARSE_POINT]
해당 속성은 식별자 192를 가지며, 재파싱 지점의 파일들에 사용된다. 재파싱 지점들로는 심볼릭 링크, Junction, 마운트가 있다. 아래는 해당 속성의 오프셋이다.

 [그림 3 - $REPARSE_POINT 속성 오프셋]