DF_m@ster

Test$MFT, $LogFile, $J의 구체적은 구조, 생성, 삭제 과정을 확인하기 위해 파일 생성 및 삭제 과정을 시나리오 테스트로 진행하였다.구체적인 시나리오는 'logo_image.png'라는 해당 블로그의 로고 이미지를 저장, 삭제, 휴지통 삭제의 세 가지 과정으로 진행하였다. 0. NTFS 구조아래는 디스크의 MBR로 1번 Partition Table Entry만 존재하며, 해당 파티션의 Partition Type이 0x07(NTFS) 임을 확인할 수 있다. 추가로 Start Sector는 0x80(128) 번 섹터이다. 128번 섹터에 NTFS의 VBR이 존재한다. VBR의 BPB에서 $MTF Start Cluster 값(0x63 00 = 25,344)을 참조하여, $MFT 영역으로 접근한..

$J$J: NTFS의 로그 파일로, 로그에는 파일의 생성, 이름 수정, 삭제와 같은 파일의 변경사항이 포함된다. 구조는 단순히 레코드의 연속으로 이루어져 있으며, $J 파일은 오로지 변경사항만을 위해 기록된다. $UsnJrnl 파일의 ADS로 저장되어 있다. ($UsnJrnl:$J) 접근 방법으로는 $UsnJrnl의 MFT Entry에서 $Data(0x80)의 RunList를 참조하여 접근한다. 아래는 $J를 레코드별로 구분한 모습과 레코드의 필드에 대한표이다.OffsetInfo0x00 ~ 03Size of Record0x10 ~ 17Parent MFT Reference Number0x18 ~ 1FUSN(Update Sequence Number)0x20 ~ 27Time Stamp0x28 ~ 2BReaso..

NTFSNTFS (New Technology File System): 마이크로소프트에 의해 개발된 파일 시스템으로, 주로 Windows 운영 체제에서 활용된다. 이 시스템은 기존의 FAT (File Allocation Table) 시스템을 대체하기 위해 설계되었으며, 더 큰 파일 크기와 보다 복잡한 데이터 구조를 지원하는 것이 특징이다. NTFS는 FAT와 달리 자동 복구 기능을 갖추고 있으며, 사용자 권한 설정과 파일 암호화를 통해 특정 파일에 대한 접근을 제한할 수 있다. 특징으로는 FAT에서 NTFS로의 변환을 지원하여 호환성도 제공하며, NTFS는 모든 파일, 디렉터리 데이터들을 파일형태로 저장한다.   NTFS StructureNTFS (New Technology File System)는 크게 ..