[$Volume]
해당 메타데이터 파일은 두 개의 속성으로 이루어져 있으며 이 속성을 중점적으로 해당 메타데이터 파일을 분석 할 것이다.
해당 메타데이터 파일은 MFT 엔트리 네 번째에 위치하고 있다. 가지고 있는 속성으로는 $VOLUME_NAME과 $VOLUME_INFORMATION이 있다.
[$VOLUME_NAME]
해당 속성은 $VOLUME 파일이 할당 되었을 경우만 사용되는 속성이며, 타입 식별자는 96이고 파일 내용으로는 파일시스템의 볼륨 이름을 저장하고 있다.
[$VOLUME_INFORMATION]
해당 속성은 $VOLUME 파일의 두 번째 속성이며 내용으로는 파일시스템 버전을 포함한다. 타입 식별자는 112이다.
오프셋 구조는 아주 간단하고 그 구조는 아래와 같다.
- 플래그 : 해당 오프셋에 저장 될 수 있는 값의 목록은 다음과 같다.
[$ObjId]
NTFS에서는 다른 파일시스템과 달리 파일이름 말고도 오브젝트 ID를 사용하여 파일을 구별 할 수 있다고 앞 글에서 언급한 적이 있었다. 어떠한 파일을 포함하는 인덱스는 $INDEX_ROOT 속성과 $INDEX_ALLOCATION 속성을 일반적으로 가지며, 파일을 직접적으로 포함하고 있는 인덱스 엔트리는 특정 데이터 구조체를 가지고 있다. 그 구조는 아래와 같다.
* 참고 : $ObjId 메타데이터 파일은 MFT 엔트리에서 특정 위치에 존재하지 않고 $Extend 메타데이터 파일안에 포함되어 있다.
- 플래그 : 여기에 들어갈 플래그 목록은 아래와 같다.
1) 0x01 : 자식 노드가 존재한다.
2) 0x02 : 목록에서 마지막 엔트리이다.
[$Quota]
해당 메타데이터 파일은 $INDEX_ROOT와 $INDEX_ALLOCATION 속성을 일반적으로 사용하며, 두 개의 인덱스를 가지고 있다.
- $O 인덱스 : 하나의 SID와 소유자 ID를 연결시키는 역할을 한다.
- $Q 인덱스 : 할당 정보에 자신의 ID를 연결시키는 역할을 한다.
* 참고 : $Quota 파일 또한 MFT 엔트리 내의 존재하는게 아닌 $Extend 파일안에 포함되어 있다.
아래는 $O 인덱스의 오프셋 구조이다.
- 소유자 ID 오프셋 : 해당 오프셋의 값은 $O 인덱스 시작으로부터 상대적이다.
- 플래그 : 여기에 들어갈 플래그 목록은 아래와 같다.
1) 0x01 : 자식 노드가 존재한다.
2) 0x02 : 목록에서 마지막 엔트리이다.
- SID : 해당 오프셋의 범위는 16 바이트 오프셋부터 16 + SID 크기 오프셋 - 1 만큼이다.
- 소유자 ID : 해당 오프셋은 소유자 ID 오프셋을 참조하고 해당 바이트 오프셋부터 소유자 ID 길이 만큼까지가 범위이다.
아래는 $Q 인덱스의 오프셋 구조이다.
- 소유자 ID 크기 : 해당 오프셋의 값은 언제나 "0x0004" 이다.
- 플래그 : 여기에 들어갈 플래그 목록은 아래와 같다.
1) 0x01 : 자식 노드가 존재한다.
2) 0x02 : 목록에서 마지막 엔트리이다.
- 할당 플래그 : 플래그 목록은 아래와 같다.
'[+] Forensic' 카테고리의 다른 글
File System - Ext (1) (0) | 2012.02.20 |
---|---|
File System - NTFS (20) (0) | 2012.02.19 |
File System - NTFS (18) (0) | 2012.02.18 |
File System - NTFS (17) (0) | 2012.02.17 |