NTFS 포렌식 썸네일형 리스트형 File System - NTFS (6) 이번 글에서는 NTFS 인덱스의 속성에 대해서 알아 볼 것이다. NTFS에서 b-tree를 사용한다고 앞 글에서 언급 했었는데 해당 트리에서는 노드에서 값을 저장하기 위해서 "인덱스 엔트리(Index Entry)" 라는 데이터 구조체를 사용한다. 인덱스 엔트리는 많은 타입들을 가질 수 있고, 모두 표준 헤더 필드를 사용한다. 인덱스 엔트리는 노드의 구성원이며, 비어 있는 인덱스 엔트리는 노드의 마지막을 뜻한다. 인덱스 엔트리의 구조는 단순하다. 헤더와 속성으로 이루어져 있는데 정확한 것은 아래 이미지에서 확인 할 수 있다. [그림 1 - 인덱스 엔트리 구조] 인덱스 엔트리를 구성원으로 가지고 있는 노드들은 MFT 엔트리 속성 두 개에 따라 저장방식이 달라진다. 만약 속성이 $INDEX_ROOT 속성이라면.. 더보기 File System - NTFS (2) 이번 글에서는 NTFS에 핵심이라고 말할 수 있는 MFT에 대해서 알아 볼 것이다. 상세히 분석하는 정도는 아니고, 일단 간략하게 알아 본 뒤 조금 더 뒤에서 상세히 분석 해 볼 것이다. 일단 MFT를 설명하기 전에 NTFS의 개념을 알아야 한다. NTFS는 시스템 내에서 중요한 데이터가 파일로 취급된다. 다른 말로 하면 NTFS 시스템 내에서는 관리데이터 들이 파일로 취급받는다. 위와 같은 이유로 관리 데이터들이 일반 파일처럼 파일시스템 어떤 위치에도 위치 할 수 있게 된다. 그래서 NTFS는 다른 파일시스템들과 달리 특정 레이아웃을 가지고 있지 않다. 다만, NTFS 볼륨 첫 섹터에는 부트 섹터가 있고, 부트 섹터에는 부트코드가 포함되어 있을 뿐이다. 개념을 간단히 숙지 했으니 이제 MFT에 대해서 .. 더보기 File System - NTFS (1) 이번 글 부터는 현재 범용적으로 많이 사용되고 있는 NTFS(New Technologies File System)에 대하여 다루어 보도록 하겠다. 이 글에서는 NTFS에 대한 소개만 하도록 하겠다. NTFS는 MS사에서 고안한 파일시스템으로 윈도우 NT, 2000, XP, 2003, 2008, 7등 수많은 버전에서 사용하는 파일시스템이다. 사실 FAT은 이동형 디스크에 많이 사용되며 고정식 디스크에는 대부분 NTFS를 사용한다고 봐도 무리가 없다. NTFS는 많은 특징들을 제공하는데, 많은 특징 만큼 확장성도 뛰어나다. 하지만 뛰어난 만큼의 복잡성을 가지고 있는 파일시스템이어서 분석이 FAT처럼 쉽지만은 않다. NTFS는 신뢰성, 보안, 대용량 장치를 지원하기 위해 설계되었는데, 이 기능들을 많은 시스템.. 더보기 이전 1 2 3 다음
