반응형
[X-Ways Forensics] 18 인덱스 슬랙(Index Slack)까지 확인하기
c.f) NTFS의 인덱스 구조는 B Tree임
빠르게 검색이 필요한 데이터는 인덱스 구조로 관리함
(디렉토리의 MFT Entry, Non-Resident 인덱스 노드 등)
X-ways에서 인덱스 슬랙까지 확인하는 방법
(파일시스템에 대한 지식이 충분하면, 당연히 수동으로 확인하면 제일 좋음)
// 옵션 'Particularly thorough file system data structure search'
(EnCase의 'Lost Folders'와 유사함)
// List earlier names/paths
(NTFS 인덱스 슬랙의 정보까지 모아서 목록화해줌)
인덱스 슬랙 포렌식을 통한 삭제된 파일 정보 확인
(참고: http://koreascience.kr/article/JAKO201520448048465.pdf)
반응형
'Digital Forensics > X-Ways' 카테고리의 다른 글
| [X-Ways Forensics] 20 RAID 시스템 재구성 - 실습 (0) | 2021.01.01 |
|---|---|
| [X-Ways Forensics] 19 섹터 중첩하기(Sector Superimposition) (0) | 2020.12.31 |
| [X-Ways Forensics] 17 NTFS MFT Record 속성 (0) | 2020.12.30 |
| [X-Ways Forensics] 16 파티션 복구 (Partition Recovery) (0) | 2020.12.08 |
| [X-Ways Forensics] 15 VBR 확인, 볼륨 시리얼 넘버 확인 (0) | 2020.12.08 |
