틀린 부분이 있다면 언제든지 댓글 남겨주세요!
MFT(Master File Table)
- 파일, 디렉토리의 정보를 가지고 있는 테이블로 MFT 또한 하나의 파일로 존재
- NTFS의 가장 중요한 구조이며 가변적이나 파일이나 디렉토리가 많아져 한번 커진 MFT는 다시 작아지지 않음
- MFT 속성의 $STANDARD_INFORMATION, $FILE_NAME에 고유한 시각 정보인MAC Time 정보가 있는데, 이 정보를 통해 각 파일의 타임라인 및 활동 히스토리를 확인할 수 있음
$STANDARD_INFORMATION: 파일의 최근 생성, 접근, 수정 시간 및 소유자 등 일반적 정보
$FILE_NAME: 파일 이름(Unicode), 최근 생성, 접근, 수정 시간
MAC time
- Created Time (ctime) : 파일 생성 시각
- Last Accessed Time (atime) : 파일 접근 시각 (파일이 복사되거나 실행되었을 때 변경)
- MFT Modified Time (mtime) : 파일 변경 시각
- Written Time : 파일 수정 시각
* MAC Time 분석시 전용 도구를 사용하는 것이 편리
ex) analyzeMFT, mft2csv 등
MFT Entry
- MFT Entry라는 1,024byte크기의 자료의 집합 형식으로 이루어져 있으며 각 Entry는 하나의 파일 또는 디렉토리 내용을 가지고 있음
- NTFS에 존재하는 모든 파일, 디렉토리는 1개의 MFT Entry를 가지며 데이터가 너무 많아 하나에 담을 수 없다면 연속된 Entry로 나눠서 저장
- Entry 0-15번까지 16개는 파일 시스템을 관리하는 중요 정보를 담고 있는 시스템 파일용으로 예약
0-11 : 파일 시스템 메타 정보 저장
Entry Number File Name Description 0 $MFT MFT 자체 1 $MFTMirr MFT 백업 2 $LogFile 트랜잭션 저널 기록 3 $Volume 볼륨의 레이블, 버전 등 볼륨에 관한 정보 4 $AttrDef 인자값, 이름, 크기 등 여러 속성의 값 5 . 파일 시스템의 루트 디렉토리 6 $Bitmap 파일시스템의 클러스터 할당 관리 정보 7 $Boot 부트 레코드 영역 정보 8 $BadClus 배드 클러스터 영역 정보 9 $Secure 보안과 접근 권한에 대한 정보 10 $UpCase 모든 유니코드 문자의 대문자 11 $Extend 추가적 확정을 담는 디렉토리 12-15 : 예약은 되어 있지만 공백
16-23 : 공백
- MFT Entry의 정보와 상태를 담고 있는 MFT Entry Header(42byte)부분과 파일의 Meta data(시간, 이름, 내용 등)를 담고 있는 Attribute 부분으로 구성
- Attribute는 Attribute Header+Attribute Content로 구성
- 포렌식 관점에서 MFT Entry가 덮어 쓰이지 않았을 때만 복구 가능
- 삭제된 파일은 $MFT 내 MFT Entry Bitmap 필드의 값을 확인
0x00 삭제된 파일
0x01 할당된 파일
0x02 삭제된 폴더
0x03 할당된 폴더
728x90
반응형
'OS > Window' 카테고리의 다른 글
| PE구조 (0) | 2021.08.23 |
|---|---|
| 윈도우 탐색기 프로세스 종료 오류 (4) | 2020.11.18 |
| Window 기본 명령어 (0) | 2020.08.27 |
댓글