MFT(Master File Table)
디지털포렌식을 하면서 자주 접하게 되는 것들 중 하나인 MFT는 무엇일까.
MFT는 Master File Table의 약자로, Windows OS계열 NTFS 시스템에서 볼 수 있는데,
이 MFT는 파일의 위치, 속성, 시간정보, 이름, 크기 등의 메타 데이터를 저장하고 있다.
MFT Entry 구조
그리고 MFT내부는 위처럼 여러 부분으로 나뉘어져 있다. 그리고 이것이 바로 'MFT Entry 구조'이다.
- MFT Entry Header
> MFT 엔트리의 기본적인 정보가 저장
- Fixup Array
> 오류나 비정상적인 변경을 찾음으로써 신뢰성을 높이고 무결성을 증명하기 위해 쓰임
- Attributes
> 파일, 속성의 메타 데이터가 저장
- End Marker
> 속성의 끝을 나타내는 표시자(0xFFFFFFFF)로서 이 이후의 값은 MFT Entry에서 미사용
- Unused Space
> 말 그대로 사용되지 않는 공간
이후 MFT를 구성하고 있는 것들에 대한 분석을 진행할 예정이다.
'Digital Forensic > 파일 분석' 카테고리의 다른 글
| NTFS의 $MFT(Master File Table) Entry End Marker 분석 (0) | 2021.11.30 |
|---|---|
| NTFS의 $MFT(Master File Table) Entry Attributes(속성) 분석 (0) | 2021.11.15 |
| NTFS의 $MFT(Master File Table) Entry Fixup Array 분석 (0) | 2021.11.13 |
| NTFS의 $MFT(Master File Table) Entry Header 분석 (0) | 2021.11.12 |
