DF_m@ster

Test$MFT, $LogFile, $J의 구체적은 구조, 생성, 삭제 과정을 확인하기 위해 파일 생성 및 삭제 과정을 시나리오 테스트로 진행하였다.구체적인 시나리오는 'logo_image.png'라는 해당 블로그의 로고 이미지를 저장, 삭제, 휴지통 삭제의 세 가지 과정으로 진행하였다. 0. NTFS 구조아래는 디스크의 MBR로 1번 Partition Table Entry만 존재하며, 해당 파티션의 Partition Type이 0x07(NTFS) 임을 확인할 수 있다. 추가로 Start Sector는 0x80(128) 번 섹터이다. 128번 섹터에 NTFS의 VBR이 존재한다. VBR의 BPB에서 $MTF Start Cluster 값(0x63 00 = 25,344)을 참조하여, $MFT 영역으로 접근한..

$J$J: NTFS의 로그 파일로, 로그에는 파일의 생성, 이름 수정, 삭제와 같은 파일의 변경사항이 포함된다. 구조는 단순히 레코드의 연속으로 이루어져 있으며, $J 파일은 오로지 변경사항만을 위해 기록된다. $UsnJrnl 파일의 ADS로 저장되어 있다. ($UsnJrnl:$J) 접근 방법으로는 $UsnJrnl의 MFT Entry에서 $Data(0x80)의 RunList를 참조하여 접근한다. 아래는 $J를 레코드별로 구분한 모습과 레코드의 필드에 대한표이다.OffsetInfo0x00 ~ 03Size of Record0x10 ~ 17Parent MFT Reference Number0x18 ~ 1FUSN(Update Sequence Number)0x20 ~ 27Time Stamp0x28 ~ 2BReaso..

$LogFile$LogFile: NTFS의 로그 파일로, 로그에는 파일의 생성, 수정, 삭제와 같은 파일의 변경사항이 포함된다. MTF Entry의 세 번째(0x02)로 할당되는 파일이다. $LogFile의 특징으로는 트랜잭션을 로그로 기록함으로써, NTFS의 무결성을 유지하는 데에 초점을 둔 로그 파일이라는 점이다. 특히, $LogFile은 Undo와 Redo 정보를 기록하여 시스템 충돌 또는 전원 장애 같은 예기치 않은 상황에서도 파일 시스템의 안정성과 일관성을 보장한다. Undo 정보는 시스템이 중단된 상태에서 이전 안정 상태로 돌아갈 수 있게 돕는 반면, Redo 정보는 중단된 작업을 완료하여 파일 시스템의 최신 상태로 업데이트하는 데 사용된다. 이러한 $LogFile로 NTFS는 데이터의 무결성..

2. Attribute ContentAttribute Content: Attribute Entry의 Attribute Header를 제외한 영역으로, Attribute Entry의 종류와 내용을 포함한다. 마지막 Attribute Entry의 Attribute Content 이후에는 해당 MFT Entry에서의 마지막 Attribute Entry 임을 알리는 End Marker(0xFF FF FF FF)가 존재한다. 아래는 Attribute Entry의 종류로, 이는 Attribute Content의 종류가 결정하며 두 값은 일치한다.주의해야 할 부분으로는 NTFS는 속성 파일과 메타데이터 파일 이름 앞에 '$'표시를 한다. 그러나 속성 파일(ex: $FILE_NAME)의 경우 알파벳이 모두 대문자이고,..

MFT NTFS는 파일 시스템을 구성하는 모든 요소들을 파일처럼 다룬다. 즉, 파일이 아닌 존재도 파일처럼 저장한다. MFT: MFT Entry의 집합으로, 파일 시스템에 저장된 파일의 수에 따라 MFT의 크기가 조절되며, 일반적으로 NTFS 볼륨의 12.5%가 MFT 영역으로 할당된다. 특징으로는, NTFS 파일 시스템을 처음 생성하면 16개의 엔트리(0번부터 15번까지)가 자동으로 생성되며, 이들은 메타 데이터 파일 혹은 시스템 파일이라고 부르며, 특별한 목적을 이유로 예약된 영역이다. 이러한 구조 덕분에 NTFS는 효율적으로 파일들을 관리하고, 필요한 정보에 빠르게 접근할 수 있다. Start Sector of MFT Area: Start Sector of VBR + (Start Cluster fo..