| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Forensic CTF #disk Forensic #windows file analyzer #WFA #Codegate 2012 F100
- 디지털 포렌식
- 탈중화
- 코딩
- 프로그래밍
- 파일 접근 권한 #linux #chown #chmond #umask #명령어
- HTML Injection #bWAPP
- forensic
- Forensic #CTF #디지털포렌식 #disk forensic
- CIDR #서브넷 #Network #ip 주소고갈
- 안드로이드 #스레드 #핸들러 #예제
- snedmail #linux #정보보안기사 #정보보안산업기사 #mail protocol
- 비박스 #웹취약점분석 #버그바운티 #bee-box #웹 #모의해킹
- 메소드
- Injection #Reflected #웹취약점
- 안드로이드 #서비스 #안드로이스 서비스 #Android #java
- 자바
- 디지털포렌식챌린지 #dfchallenge #디지털포렌식 #Forensic
- 파이썬
- #정보보안 #어셈블리 #저급언어 #기계어 #it #정보보안
- evm
- 포렌식
- 디지털포렌식 연구회 워크샵 #디지털포렌식 #디지털포렌식챌린지 #Forensic #ctf #정보보호학회
- 정보보안기사 #정보보안산업기사 #클라우드컴퓨팅 #보안 #컴퓨팅보안
- 객체
- PYTHON
- java
- It
- 정보보안기사 #정보보안산업기사 #2020년 정보보안기사 #시험일정
- EnCase #mount #Forensic #image mount
- Today
- Total
Jsecurity
NTFS MFT Entry 본문
# MFT Entry
- 일반적으로 1,024bytes 크기를 가지며 그 위치는 Boot Record에 기록
- MFT Entry Header: 48Bytes
- Attributes: 파일에 대한 metadata 정보 저장
# MFT 엔트리 구조
-MFT 엔트리는 다음 그림과 같은 구조를 가진다. 맨 앞부분에 48 바이트 크기의 엔트리 헤더와 Fixup 값, 그리고 해당하는 파일의 특성에 따라 여러 개의 속성을 가진다.
# MFT Entry Header
# MFT Entry Header
- Signature : "FILE"
- Offset to fixup array : 0x0030
- Number of entries in fixup array : 0x0003
- $LogFile Sequence Number (LSN) : 0x0000000000 107A14
- Sequence Number : 0x0001
- Link count : 0x0001
- Offset to first attribute : 0x0038
- Flags : 0x0001
- Used size of MFT entry : 0x000001A0
- Allocated size of MFT Entry : 0x00000400 (1024 바이트)
- File reference to base record : 0x00000000 00000000
- Next attribute id : 0x0006
- Align to 4B boundary : 0x0000
- Number of this MFT Entry : 0x00000000
# File Reference Address
- MFT Entry는 48bit로 구성되는 고유의 주소(MFT Entry Address/Number)를 가지고 있음 ($MFT는 0, $LogFile의 경우 2)
- File Reference Address(64bit) = Sequence Number(16bit)와 MFT Entry Address(48bit)의 조합 사용
- Sequence Value가 0x20이고 MFT Entry Address가 0x400 일 때 File Reference Address는 0x0020000000000400이 된다.
# Base MFT Entry와 non-base MFT Entry
- 어떤 파일에 대한 정보가 너무 많아서 하나의 MFT Entry에 담기가 불가능할 경우 여러 개의 MFT Entry 사용
- Base MFT Entry: 첫번째 MFT Entry
- Non-base MFT Entry: 두번째 이상의 MFT Entry
[참고 사이트]
https://ghostshell.tistory.com/311
마스터 파일 테이블 MFT(Master File Table)
No. 첨부파일 1 Master File Table은 NFTS에 있어 가장 핵심적인 역할을 맡고 있다. MFT는 NTFS 볼륨상의 모든 파일에 대하여 적어도 한 개의 엔트리를 가지고 있으며 파일 크기, 작성 일자, 사용 권한, 데이터..
ghostshell.tistory.com
http://forensic-proof.com/archives/584
NTFS – MFT 엔트리 구조 (MFT Entry Structure) | FORENSIC-PROOF
forensic-proof.com
[NTFS - 속성]
http://forensic-proof.com/archives/590
NTFS – 속성 (Attributes) | FORENSIC-PROOF
forensic-proof.com
'포렌식 > 디지털 포렌식' 카테고리의 다른 글
| 파일시스템 개요 (0) | 2019.06.17 |
|---|---|
| NTFS MFT(Attributes)속성 (0) | 2019.06.17 |
| NTFS의 MFT(Master File Table)란? (0) | 2019.06.15 |
| NTFS Boot Record (0) | 2019.06.15 |
| NTFS 파일시스템 (0) | 2019.06.14 |
