본문 바로가기

[+] Forensic

File System - NTFS (19)

이번 글에서는 NTFS의 메타데이터 파일 중 $Volume, $ObjId, $Quota 파일에 대해서 알아 볼 것이다.

[$Volume]
해당 메타데이터 파일은 두 개의 속성으로 이루어져 있으며 이 속성을 중점적으로 해당 메타데이터 파일을 분석 할 것이다.
해당 메타데이터 파일은 MFT 엔트리 네 번째에 위치하고 있다. 가지고 있는 속성으로는 $VOLUME_NAME과 $VOLUME_INFORMATION이 있다.

[$VOLUME_NAME]
해당 속성은 $VOLUME 파일이 할당 되었을 경우만 사용되는 속성이며, 타입 식별자는 96이고 파일 내용으로는 파일시스템의 볼륨 이름을 저장하고 있다.

[그림 1 - $VOLUME_NAME 속성의 내용]

 

[$VOLUME_INFORMATION]
해당 속성은 $VOLUME 파일의 두 번째 속성이며 내용으로는 파일시스템 버전을 포함한다. 타입 식별자는 112이다.
오프셋 구조는 아주 간단하고 그 구조는 아래와 같다.

[그림 2 - $VOLUME_INFORMATION 속성의 오프셋]

 - 플래그 : 해당 오프셋에 저장 될 수 있는 값의 목록은 다음과 같다.

[그림 3 - 플래그 값 목록]

 

 

[$ObjId]
NTFS에서는 다른 파일시스템과 달리 파일이름 말고도 오브젝트 ID를 사용하여 파일을 구별 할 수 있다고 앞 글에서 언급한 적이 있었다. 어떠한 파일을 포함하는 인덱스는 $INDEX_ROOT 속성과 $INDEX_ALLOCATION 속성을 일반적으로 가지며, 파일을 직접적으로 포함하고 있는 인덱스 엔트리는 특정 데이터 구조체를 가지고 있다. 그 구조는 아래와 같다.

 * 참고 : $ObjId 메타데이터 파일은 MFT 엔트리에서 특정 위치에 존재하지 않고 $Extend 메타데이터 파일안에 포함되어 있다.

[그림 4 - $ObjId 파일의 오프셋]

 - 플래그 : 여기에 들어갈 플래그 목록은 아래와 같다.
                1) 0x01 : 자식 노드가 존재한다.
                2) 0x02 : 목록에서 마지막 엔트리이다. 


[$Quota]
해당 메타데이터 파일은 $INDEX_ROOT와 $INDEX_ALLOCATION 속성을 일반적으로 사용하며, 두 개의 인덱스를 가지고 있다.

 - $O 인덱스 : 하나의 SID와 소유자 ID를 연결시키는 역할을 한다.
 - $Q 인덱스 : 할당 정보에 자신의 ID를 연결시키는 역할을 한다.


 * 참고 : $Quota 파일 또한 MFT 엔트리 내의 존재하는게 아닌 $Extend 파일안에 포함되어 있다.

아래는 $O 인덱스의 오프셋 구조이다.
 

[그림 5 - $O 인덱스의 오프셋]

 - 소유자 ID 오프셋 : 해당 오프셋의 값은 $O 인덱스 시작으로부터 상대적이다.

 - 플래그 : 여기에 들어갈 플래그 목록은 아래와 같다.
                1) 0x01 : 자식 노드가 존재한다.

                2) 0x02 : 목록에서 마지막 엔트리이다. 

 - SID : 해당 오프셋의 범위는 16 바이트 오프셋부터 16 + SID 크기 오프셋 - 1 만큼이다.

 - 소유자 ID : 해당 오프셋은 소유자 ID 오프셋을 참조하고 해당 바이트 오프셋부터 소유자 ID 길이 만큼까지가 범위이다.


아래는 $Q 인덱스의 오프셋 구조이다.

[그림 6 - $Q 인덱스의 오프셋]

 - 소유자 ID 크기 : 해당 오프셋의 값은 언제나 "0x0004" 이다.

 - 플래그 : 
여기에 들어갈 플래그 목록은 아래와 같다.
                1) 0x01 : 자식 노드가 존재한다.

                2) 0x02 : 목록에서 마지막 엔트리이다. 


 - 할당 플래그 : 플래그 목록은 아래와 같다.


[그림 7 - 플래그 목록]


'[+] Forensic' 카테고리의 다른 글

File System - Ext (1)  (0) 2012.02.20
File System - NTFS (20)  (0) 2012.02.19
File System - NTFS (18)  (0) 2012.02.18
File System - NTFS (17)  (0) 2012.02.17