DF_m@ster

$J$J: NTFS의 로그 파일로, 로그에는 파일의 생성, 이름 수정, 삭제와 같은 파일의 변경사항이 포함된다. 구조는 단순히 레코드의 연속으로 이루어져 있으며, $J 파일은 오로지 변경사항만을 위해 기록된다. $UsnJrnl 파일의 ADS로 저장되어 있다. ($UsnJrnl:$J) 접근 방법으로는 $UsnJrnl의 MFT Entry에서 $Data(0x80)의 RunList를 참조하여 접근한다. 아래는 $J를 레코드별로 구분한 모습과 레코드의 필드에 대한표이다.OffsetInfo0x00 ~ 03Size of Record0x10 ~ 17Parent MFT Reference Number0x18 ~ 1FUSN(Update Sequence Number)0x20 ~ 27Time Stamp0x28 ~ 2BReaso..

$LogFile$LogFile: NTFS의 로그 파일로, 로그에는 파일의 생성, 수정, 삭제와 같은 파일의 변경사항이 포함된다. MTF Entry의 세 번째(0x02)로 할당되는 파일이다. $LogFile의 특징으로는 트랜잭션을 로그로 기록함으로써, NTFS의 무결성을 유지하는 데에 초점을 둔 로그 파일이라는 점이다. 특히, $LogFile은 Undo와 Redo 정보를 기록하여 시스템 충돌 또는 전원 장애 같은 예기치 않은 상황에서도 파일 시스템의 안정성과 일관성을 보장한다. Undo 정보는 시스템이 중단된 상태에서 이전 안정 상태로 돌아갈 수 있게 돕는 반면, Redo 정보는 중단된 작업을 완료하여 파일 시스템의 최신 상태로 업데이트하는 데 사용된다. 이러한 $LogFile로 NTFS는 데이터의 무결성..

2. Attribute ContentAttribute Content: Attribute Entry의 Attribute Header를 제외한 영역으로, Attribute Entry의 종류와 내용을 포함한다. 마지막 Attribute Entry의 Attribute Content 이후에는 해당 MFT Entry에서의 마지막 Attribute Entry 임을 알리는 End Marker(0xFF FF FF FF)가 존재한다. 아래는 Attribute Entry의 종류로, 이는 Attribute Content의 종류가 결정하며 두 값은 일치한다.주의해야 할 부분으로는 NTFS는 속성 파일과 메타데이터 파일 이름 앞에 '$'표시를 한다. 그러나 속성 파일(ex: $FILE_NAME)의 경우 알파벳이 모두 대문자이고,..

MFT NTFS는 파일 시스템을 구성하는 모든 요소들을 파일처럼 다룬다. 즉, 파일이 아닌 존재도 파일처럼 저장한다. MFT: MFT Entry의 집합으로, 파일 시스템에 저장된 파일의 수에 따라 MFT의 크기가 조절되며, 일반적으로 NTFS 볼륨의 12.5%가 MFT 영역으로 할당된다. 특징으로는, NTFS 파일 시스템을 처음 생성하면 16개의 엔트리(0번부터 15번까지)가 자동으로 생성되며, 이들은 메타 데이터 파일 혹은 시스템 파일이라고 부르며, 특별한 목적을 이유로 예약된 영역이다. 이러한 구조 덕분에 NTFS는 효율적으로 파일들을 관리하고, 필요한 정보에 빠르게 접근할 수 있다. Start Sector of MFT Area: Start Sector of VBR + (Start Cluster fo..

VBR (Volume Boot Record)VBR은 Boot Sector와 NTLDR Information Boot Strap 두 가지 영역으로 나뉜다. 1. Boot SectorBoot Sector: 운영 체제가 컴퓨터를 부팅할 때 필요한 정보를 담고 있고, BIOS Parameter Block (BPB) (빨간색), Bootstrap Code (초록색), Signature (파란색)으로 나뉜다. 1. BIOS Parameter Block (BPB): 파일 시스템의 기본적인 정보를 담고 있으며, 드라이브의 구조, 파일 시스템의 크기, 섹터 크기 등을 정의하고, 시스템이 올바르게 액세스 할 수 있게 하는 중요한 메타데이터를 제공한다.OffsetSize (Byte)Information0x00 ~ 023Ju..