전체 글 (638) 썸네일형 리스트형 [디스크 포렌식] NTFS 파일 시스템 Non-Resident $DATA 속성 NTFS 파일 시스템 Non-Resident $DATA 속성 Non-Resident 속성의 경우 해당 Index Entry에서 0x80($DATA) 속성을 찾아 분석하여 수동으로 해당 데이터의 실제 위치를 알아낼 수 있습니다. 위 그림은 $DATA 속성의 구조입니다. 의미 내용 Attribute Type ID 속성 타입 식별 값을 나타냄. $DATA는 [80 00 00 00] (0x10, 0x30, 0x80, 0xA0 등 하위 MFT Entry) Length of Attribute 속성 헤더를 포함한 속성 전체의 길이를 나타냄 N-R Flag Non-Resident 속성 여부를 나타냄 (0x01은 N-R 속성) Flags 속성 상태를 나타냄 (0x0001은 압축, 0x0002는 숨김, 0x0020은 압축.. [디스크 포렌식] NTFS 파일 시스템의 Resident 속성, Non-Resident 속성 NTFS 파일 시스템의 Resident 속성, Non-Resident 속성 Resident 속성 NTFS 파일 시스템의 경우 파일의 용량이 700byte 이하일 경우 하나의 Index Entry(1024byte)에 속성 정보(메타데이터)와 파일의 내용이 저장됩니다. 이를 Resident 속성이라고 부릅니다. Non-Resident 속성 NTFS 파일 시스템에서 파일의 용량이 700byte 이상일 경우 클러스터를 다시 할당받아 다른 곳에 연속적으로 저장하게 됩니다. 이를 Non-Resident 속성이라고 부릅니다. [디스크 포렌식] NTFS 파일 시스템 NTFS 파일 시스템 NTFS 파일 시스템의 구조는 위와 같습니다. 1. Boot Sector (BR) 영역 NTFS 파일 시스템의 BR 영역도 FAT32와 같이 특정 오프셋 별로 의미하는 바가 다릅니다. 0byte ~ 2byte : Boot Code 3byte ~ 83byte : BIOS Parameter Block 84byte ~ 509byte : Boot Code와 Error Message 510byte ~ 511byte : 시그니쳐 2바이트 위는 NTFS 파일 시스템의 BR 영역 구조입니다. FAT32 파일 시스템보다 구조가 간단해졌다는 점을 확인할 수 있습니다. 이는 FAT32 파일 시스템은 모든 파일을 클러스터에서 직접 관리하지만, NTFS 파일 시스템은 파일에 대한 메타데이터를 파일에 기록하.. [디스크 포렌식] 긴 파일 이름을 가진 FAT32 파일시스템 긴 파일 이름을 가진 FAT32 파일시스템 위 파일 목록을 보면 이름이 긴 파일 하나가 있음을 확인할 수 있습니다. 이름이 긴 파일은 FAT32 파일시스템에서 루트 디렉토리에 새로 32바이트의 영역을 할당한 후에, 이름만을 저장하게 됩니다. 실제 파일 정보가 있는 루트 디렉토리는 Name 오프셋 영역에 저장할 수 있는 바이트 제한으로 파일 이름이 ~로 축소되어 저장됩니다. [디스크 포렌식] 루트 디렉토리의 CreateTime, CreatedDate 계산 루트 디렉토리의 CreateTime, CreatedDate 계산 CreateTime은 파일이 생성된 시간을, CreatedDate는 파일이 생성된 날짜를 나타냅니다. 루트 디렉토리에는 16진수 형태로 저장되어 있기 때문에, 이를 계산해 보겠습니다. 예시 파일입니다. CreateTime 영역은 93 A6으로 적혀있고 CreatedDate 영역은 82 48로 적혀있습니다. 1. CreateTime 계산 CreateTime 영역이 93 A6으로 적혀있으므로, 리틀엔디안 방식으로 변경하면 A6 93으로 읽을 수 있습니다. 이를 2진법으로 변환하면 1001 0011 1010 0110 이 나옵니다. 이 2진수 16자리를 5-6-5로 끊어 읽어주고, 이를 다시 10진수로 변환해주면 됩니다. (초 단위는 *2 해주어야.. 이전 1 ··· 73 74 75 76 77 78 79 ··· 128 다음
