NTFS
NTFS (New Technology File System): 마이크로소프트에 의해 개발된 파일 시스템으로, 주로 Windows 운영 체제에서 활용된다. 이 시스템은 기존의 FAT (File Allocation Table) 시스템을 대체하기 위해 설계되었으며, 더 큰 파일 크기와 보다 복잡한 데이터 구조를 지원하는 것이 특징이다. NTFS는 FAT와 달리 자동 복구 기능을 갖추고 있으며, 사용자 권한 설정과 파일 암호화를 통해 특정 파일에 대한 접근을 제한할 수 있다. 특징으로는 FAT에서 NTFS로의 변환을 지원하여 호환성도 제공하며, NTFS는 모든 파일, 디렉터리 데이터들을 파일형태로 저장한다.
NTFS Structure
NTFS (New Technology File System)는 크게 세 개의 주요 영역으로 나눌 수 있다.
1. VBR (Volume Boot Record): NTFS File System의 가장 처음 부분에 고정된 위치로 존재한다. VBR은 File System 정보를 저장하고, 운영 체제가 File System을 어떻게 읽어야 할지 지시하는 역할을 한다. 추가적으로 시스템 오류 발생 시 복구 정보도 포함하고 있다.
2. MFT (Master File Table): MFT Entry의 집합으로, MFT Entry는 NTFS File System에서 저장된 파일에 대한 일부 데이터 및 메타데이터(위치, 속성, 시간 정보, 이름, 크기 등)를 특별한 형태로 저장하는 Entry이다.
3. Data Area: 저장된 파일의 실제 데이터가 저장되는 곳으로, Data Area는 파일 시스템의 가장 큰 부분을 차지한다.
Volume Boot Record
[Digital Forensic] NTFS File System "VBR" Analysis
Master File Table
[Digital Forensic] NTFS File System "MFT" Analysis
[Digital Forensic] NTFS File System "Attribute Content" Analysis
LogFile ($LogFile, $J + ADS)
[Digital Forensic] NTFS File System "$LogFile" Analysis
[Digital Forensic] NTFS File System "$J & ADS" Analysis
Test & Result
[Digital Forensic] NTFS File System "Test & Result" Analysis