$MFT 썸네일형 리스트형 File System - NTFS (18) 이번 글부터는 NTFS의 메타데이터 파일들을 분석 할 것이다. [$MFT] 해당 메타데이터 파일은 앞 글에서도 여러번 언급하였기 때문에 해당 메타데이터 파일의 일반적인 속성은 분석하지 않고 고유 속성인 $BITMAP 속성만 분석하여 볼 것이다. $BITMAP 속성은 NTFS의 MFT 엔트리 할당 상태를 관리하는 속성으로 각 비트가 MFT 엔트리와 맵핑되어 MFT 엔트리가 할당되면 해당 MFT 엔트리와 맵핑 관계인 비트가 1로 설정된다. [그림 1 - $MFT 파일의 $BITMAP 속성 오프셋] 위 이미지를 보면 F로 설정된 오프셋과 0으로 설정된 오프셋이 있는데 F로 설정된 오프셋이 할당 상태를 뜻하고 0으로 설정된 오프셋이 비 할당 상태를 뜻한다. MFT 엔트리 맵핑 관계는 각 오프셋을 비트로 변환하면.. 더보기 File System - NTFS (7) 이번 글 에서는 NTFS를 파일시스템 참조 모델 중 파일시스템 참조 모델에 맞춰 분석 해 볼 것이다. 파일시스템 참조 모델은 파일시스템을 전반적으로 설명하는 데이터를 포함하고 있는 참조 모델이다. NTFS에서 이러한 데이터를 포함하는 것은 메타데이터 파일이며, NTFS에서는 모든 것이 파일로 할당 되기 때문에 메타데이터 파일은 파일시스템 전체를 데이터 영역으로 보고 어디든지 위치 할 수 있다. * 참고 : 부트 코드는 예외로 정해진 곳에만 위치 할 수 있다. 메타데이터 파일들의 흥미로운 점은 일반 파일들과 비슷한 구조의 타임 스탬프를 가지고 있다는 것이다. 메타데이터 파일이 가지고 있는 타임스탬프는 파일시스템이 생성 될 때 설정되기 때문에 분석 시 유용하게 사용 할 수 있다. 그럼 이제부터 파일시스템 참.. 더보기 이전 1 다음
