Digital Forensics/X-Ways2020. 12. 30. 22:55
반응형

[X-Ways Forensics] 17 NTFS MFT Record 속성

(※ 참고 : forensic-proof.com/archives/1769, forensic-proof.com/archives/590)

 

 

1. MFT Record - File Record Header

MFT Record Header 中 다음의 정보들이 중요함

Signature - MFT Record 시그니처(“FILE”)

Sequence Number - 순서번호로MFT Record 생성후할당/해제시마다1씩증가

Flags - MFT Record 상태정보

(0x01 : 사용중, 0x02 : 디렉토리, 0x04 : 분석안됨, 0x08 : 분석안됨)

 

일반적인 파일의 경우, MFT 엔트리에는 기본적으로 3개의 속성($STDINFO, $FNA, $DATA)이 존재함

MFT 엔트리는 NTFS의 각 파일마다 하나씩 존재함

따라서 각 파일의 File Record 확인하면, 삭제여부 확인 가능함

 

2. $FILE_NAME

File Reference Addr of parent directory 필드 :

부모 디렉토리의 주소를 가리키며,

Sequence 남겨서 삭제/교체 여부를 확인함

만약 부모 디렉토리가 삭제된 경우, 고아 파일이

EnCase에서는 Lost Files, X-ways에서는 Path Unknown 폴더에 고아 파일을 모아서 보여줌

// 파일이름이 2바이트를 넘는 경우, POSIX 규칙에 따라 속성정보가 2개로 저장됨

첫번째는 POSIX 규칙에 맞게 2바이트로 줄여서 저장, 두번째는 풀네임을 저장함

 

3. $DATA

$DATA 속성 中 Resident, Non-resident 속성이 있음

파일 데이터가 MFT 엔트리 저장공간보다 큰 경우,

별도의 클러스터를 할당받아 저장됨. 이를 Non-resident 속성이라고 함

이와 반대로, Resident 속성은 헤더 바로 뒤에 위치함

 

(실습) Resident와 Non-resident 직접 살펴보기

(1) Resident.txt, non-resident.txt 생성하기

Resident.txt(100 bytes) : 파일내용 "AAAAAAAAAA"

Non-resident.txt(1,000 bytes) : 파일내용 "AAAAAAAAA * 10"

 

(2) Resident.txt, non-resident.txt 삭제하기

 

(3) X-ways에서 확인하기

// resident.txt resident이기 때문에 data unchanged 확신할 있음

그러나 Non-resident 확신할 수가 없음

(참고로, X-ways 삭제된 파일을 3가지로 나누어서 표시함)

반응형
Posted by CCIBOMB
Digital Forensics/X-Ways2020. 12. 8. 23:01
반응형

VBR 확인

 

Volume Serial Number 확인 (Little Endian)

 

 

※ VBR(Volume Boot Record)

VBR은 NTFS 포맷된 볼륨의 가장 부분에 위치함

부트 섹터, NTLDR 위치정보, 추가적인 부트 코드를 저장함

VBR의 앞에는 MBR(1 sector) + Slack(62 sector 또는 2047 sector : 기본 OS 포맷시)가 있음

FAT 파티션의 예약된 영역과 유사하게

부트 섹터(Boot Sector)와 부트 코드(NTLDR Information & Boot Strap)로 구성됨

일정한 크기를 갖지 않고 클러스터 크기에 따라 가변적임

MBR(Master Boot Record)에서 부팅 가능한 파티션을 찾은 후,

해당 파티션의 VBR을 호출함

 

// 출처 : http://www.invoke-ir.com/

반응형
Posted by CCIBOMB