이번 글에서는 간단히 인덱스 엔트리에 대해서 알아 볼 것이다.
- 플래그 : 플래그 오프셋에 올 수 있는 값은 두가지로 위 이미지에 있는 값은 쓰레기 값이다.
1) 0x01 : 자식 노드가 존재한다.
2) 0x02 : 인덱스 엔트리 목록에서 마지막 엔트리
* 참고 : 엔트리 마지막 8바이트는 $INDEX_ALLOCATION에 있는 자식 노드의 VCN 값을 가지고 있는데, 위 이미지는 $INDEX_ROOT 속성의 인덱스 엔트리이다. 또 VCN 값이 저장되기 위해서는 플래그의 값이 "0x01" 이어야만 한다.
- 파일 이름 MFT 엔트리 번호 : 위 이미지에서는 MFT 엔트리 25번을 참조하고 있다.
- 플래그 : 표준 인덱스 엔트리의 플래그와 동일하다.
* 참고 : 엔트리 마지막 8바이트는 $INDEX_ALLOCATION에 있는 자식 노드의 VCN 값을 가지고 있는데, 위 이미지는 $INDEX_ROOT 속성의 인덱스 엔트리이다. 또 VCN 값이 저장되기 위해서는 플래그의 값이 "0x01" 이어야만 한다.
[표준 인덱스 엔트리]
표준 인덱스 엔트리는 따로 설명 할 것이 없다. 말 그대로 인덱스 엔트리의 표준 레이아웃을 가진 인덱스 엔트리이며, 어떠한 내용도 가질 수 있는 엔트리이다. 아래는 인덱스 엔트리의 오프셋 구조이다.
[그림 1 - 표준 인덱스 엔트리 오프셋]
- 플래그 : 플래그 오프셋에 올 수 있는 값은 두가지로 위 이미지에 있는 값은 쓰레기 값이다.
1) 0x01 : 자식 노드가 존재한다.
2) 0x02 : 인덱스 엔트리 목록에서 마지막 엔트리
* 참고 : 엔트리 마지막 8바이트는 $INDEX_ALLOCATION에 있는 자식 노드의 VCN 값을 가지고 있는데, 위 이미지는 $INDEX_ROOT 속성의 인덱스 엔트리이다. 또 VCN 값이 저장되기 위해서는 플래그의 값이 "0x01" 이어야만 한다.
[디렉토리 인덱스 엔트리]
파일 이름을 사용하는 디렉토리 인덱스는 자신만의 데이터 구조체를 가지고 있다. 아래는 이것의 오프셋 구조이다.
[그림 2 - 디렉토리 인덱스 엔트리 오프셋]
- 파일 이름 MFT 엔트리 번호 : 위 이미지에서는 MFT 엔트리 25번을 참조하고 있다.
- 플래그 : 표준 인덱스 엔트리의 플래그와 동일하다.
* 참고 : 엔트리 마지막 8바이트는 $INDEX_ALLOCATION에 있는 자식 노드의 VCN 값을 가지고 있는데, 위 이미지는 $INDEX_ROOT 속성의 인덱스 엔트리이다. 또 VCN 값이 저장되기 위해서는 플래그의 값이 "0x01" 이어야만 한다.
'[+] Forensic' 카테고리의 다른 글
| File System - NTFS (19) (0) | 2012.02.19 |
|---|---|
| File System - NTFS (18) (0) | 2012.02.18 |
| File System - NTFS (16) (0) | 2012.02.16 |
| File System - NTFS (15) (0) | 2012.02.16 |
