> Information Security/Forensics
-
[Windows] '$LogFile' entry at the NTFS File System> Information Security/Forensics 2014. 1. 7. 21:42
지난 포스팅에서 NTFS 파일시스템의 전반적인 구조를 살펴보았다. NTFS 파일시스템의 MFT에는 메타데이터 파일이라고 불리는 여러개의 MFT 엔트리로 구성되어 있다. [NTFS 파일시스템 구조] 그 중에서도 이번 포스팅에서 다룰 것은 '$LogFIle' 엔트리이다. [MFT 엔트리] [ $LogFile 구조] $MFT가 파일시스템에 존재하는 메타데이터를 저장하는 공간이라면, $LogFile은 메타데이터의 트랜잭션(Transaction) 파일을 저장하고 있다. 따라서 $MFT에 남아있지 않은 이벤트 분석이 가능하다. $LogFile은 각 '페이지'단위로 구성된 재시작 영역(Restart Area)와 로깅 영역(Logging Area)로 구성되어있고, 각 페이지는 페이지 헤더와 여러 개의 레코드 들로 구성..
-
[Windows] NTFS> Information Security/Forensics 2014. 1. 2. 21:31
NTFS File System NTFS 파일시스템은 New Technology File System의 약자이며, MS-DOS 이전의 Windows버전에서 사용되었던 FAT파일시스템을 대체하는 파일시스템이다. 최근의 대부분의 Windows계열의 OS는 NTFS 파일시스템을 이용하고 있다. NTFS의 구조는 크게 VBR(Volume Boot Record), MFT(Master File Table), Data Area로 구성되어 있다. VBR(Volume Boot Record) MFT(Master File Table) 파일과 디렉토리를 관리하기 위한 MFT Entry의 집합체 Data Area MFT영역은 그 자체를 하나의 파일로고려하기 때문에 데이터 영역과 구별되지 않고 혼재되어 있다. Boot Sector..