[X-Ways Forensics] 17 NTFS MFT Record 속성
(※ 참고 : forensic-proof.com/archives/1769, forensic-proof.com/archives/590)
1. MFT Record - File Record Header
MFT Record Header 中 다음의 정보들이 중요함
Signature - MFT Record 시그니처(“FILE”)
Sequence Number - 순서번호로MFT Record 생성후할당/해제시마다1씩증가
Flags - MFT Record 상태정보
(0x01 : 사용중, 0x02 : 디렉토리, 0x04 : 분석안됨, 0x08 : 분석안됨)
일반적인 파일의 경우, MFT 엔트리에는 기본적으로 3개의 속성($STDINFO, $FNA, $DATA)이 존재함
MFT 엔트리는 NTFS의 각 파일마다 하나씩 존재함
따라서 각 파일의 File Record를 확인하면, 삭제여부 등 확인 가능함
2. $FILE_NAME
File Reference Addr of parent directory 필드 :
부모 디렉토리의 주소를 가리키며,
Sequence도 남겨서 삭제/교체 여부를 확인함
만약 부모 디렉토리가 삭제된 경우, 고아 파일이 됨
EnCase에서는 Lost Files, X-ways에서는 Path Unknown 폴더에 고아 파일을 모아서 보여줌
// 파일이름이 2바이트를 넘는 경우, POSIX 규칙에 따라 속성정보가 2개로 저장됨
첫번째는 POSIX 규칙에 맞게 2바이트로 줄여서 저장, 두번째는 풀네임을 저장함
3. $DATA
$DATA 속성 中 Resident, Non-resident 속성이 있음
파일 데이터가 MFT 엔트리 저장공간보다 큰 경우,
별도의 클러스터를 할당받아 저장됨. 이를 Non-resident 속성이라고 함
이와 반대로, Resident 속성은 헤더 바로 뒤에 위치함
(실습) Resident와 Non-resident 직접 살펴보기
(1) Resident.txt, non-resident.txt 생성하기
Resident.txt(100 bytes) : 파일내용 "AAAAAAAAAA"
Non-resident.txt(1,000 bytes) : 파일내용 "AAAAAAAAA * 10"
(2) Resident.txt, non-resident.txt 삭제하기
(3) X-ways에서 확인하기
// resident.txt는 resident이기 때문에 data unchanged를 확신할 수 있음
그러나 Non-resident는 확신할 수가 없음
(참고로, X-ways는 삭제된 파일을 3가지로 나누어서 표시함)
'Digital Forensics > X-Ways' 카테고리의 다른 글
| [X-Ways Forensics] 19 섹터 중첩하기(Sector Superimposition) (0) | 2020.12.31 |
|---|---|
| [X-Ways Forensics] 18 인덱스 슬랙(Index Slack)까지 확인하기 (0) | 2020.12.30 |
| [X-Ways Forensics] 16 파티션 복구 (Partition Recovery) (0) | 2020.12.08 |
| [X-Ways Forensics] 15 VBR 확인, 볼륨 시리얼 넘버 확인 (0) | 2020.12.08 |
| [X-Ways Forensics] 14 Filtering (필터링) (0) | 2020.12.08 |
