$STANDARD_INFORMATION 범위(16진수) 설명 – 속성 헤더 (Attribute header) 0x00 – 0x07 생성 시간 (Creation time) 0x08 – 0x0F 수정 시간 (Modified time) 0x10 – 0x17 MFT 수정 시간 (MFT modified time) 0x18 – 0x1F 접근 시간 (Last accessed time) 0x20 – 0x23 속성 플래그 (Flags) 0x24 – 0x27 버전 최대값 (Maximum number of versions) 0x28 – 0x2B 버전 번호 (Version number) 0x2C – 0x2F 클래스 ID (Class ID) 0x30 – 0x33 소유자 ID (version 3.0+) 0x34 – 0x37 보안..

$STANDARD_INFORMATION 속성은 NTFS의 모든 파일에 기본적으로 존재하는 속성이다. 속성 타입 번호는 16번으로 속성들 중에서 타입번호가 가장 낮기 때문에 MFT 엔트리 내의 속성들 중 가장 처음에 위치한다. 공통된 헤더(16 byte) 범위(10 진수) 범위(16 진수) 설명 0 - 3 0x00 -0x03 속성 타입 식별자 4 - 7 0x04 - 0x07 속성 길이 8 - 8 0x08 - 0x08 Non-resident 플래그 9 - 9 0x09 - 0x09 속성 이름 길이(N) 10 - 11 0x0A - 0x0B 속성 이름 시작 위치 12 - 13 0x0C - 0x0D 상태 플래그 14 - 15 0x0E - 0x0F 속성 식별자 Resident Attr Header 범위(10 진수) ..

MFT 엔트리 내부에 존재하는 속성들은 기본적으로 17개의 속성을 가지고 있다. 속성은 MFT 엔트리 헤더, Fixup 배열 이후에 End Marker가 올 때까지 연속적으로 나온다. 아래 표는 기본 속성 17가지를 나타낸 표이다. 속성 식별값 속성 이름 설명 16 (0x10) $STANDARD_INFORMATION 파일의 최근 생성,접근,수정 시간, 소유자 등의 일반적인 정보 32 (0x20) $ATTRIBUTE_LIST 속성들에 대한 리스트 48 (0x30) $FILE_NAME 파일 이름(유니코드), 최근 생성,접근.수정 시간 64 (0x40) $VOLUME_VERSION 볼륨 정보 (윈도우 NT 1.2 버전에만 존재) 64 (0x40) $OBJECT_ID 파일 및 디렉터리의 16바이트 고유값 (윈도..

MFT(Master File Table) 볼륨에 존재하는 모든 파일과 디렉토리에 대한 정보를 가진 테이블이다. NTFS의 가장 중요한 구조체이고 Windows에서 NTFS로 포맷할 경우 Windows는 MFT의 초기 크기를 작게 설정하며 파일이 많아짐에 따라 Windows는 점점 MFT의 크기를 늘려간다. 파일이나 디렉토리가 많아질수록 MFT의 크기는 점점 커지지만 한번 늘어난 MFT는 파일이 줄어든다고 해서 줄어들진 않는다. MFT에서는 0번부터 15번까지 들어가는 16개의 파일이 있는데 이는 파일시스템 관리 데이터를 담고 있는 시스템 파일들로, 일반 파일들과 구별하기 위해 메타 데이터 파일(meta data file)이라고 부른다. 파일의 이름은 다른 일반 파일들과 구별하기 위해서 이름앞에 "$"문자..

NTFS란 FAT32 의 용량의 한계를 극복하고 디스크 공간을 효율적으로 이용하기 위해 개발 되었다. 파일. 폴더별 독집적 권한부여, 로그기록 유지, 다른 운영체제로 부팅하여 보안기능 우회불가등 보안향상이 되었고, 데이터 손실률이 낮아 튼튼한 시스템을 위해 등장했다. 향상된 파일 이름도 지원하여 대소문자, Unicode도 파일이름에 사용할 수 있다. 1. VBR(Volime Boot Record) 1.1 BR(Boot Sector) NTFS구조에서 가장 앞부분에 위치하는 영역이다. FAT 예약된 영역과 유사하게 부트 섹터와 추가적인 부트 코드가 저장된다. 고정된 크기를 가지지 않고 클러스터 크기에 의존한다. Cluster Size VBR Size 512 Bytes 1 1KB 2 2KB 4 4KB 8 1...

FAT32는 크게 3가지의 구조로 구성되어있다. 1. Reserved Area 2. FAT Area 3. Data Area 그중에서 Reserved Area에는 BR Sector부분이 있고 FAT Area는 주로 쓰는 #1부분과 #1의 백업부분인 #2 마지막으로 데이터를 직접 저장하고 관리하는 Data Area에는 Rood Directory부분이 있다. 점선은 가변적임을 의미한다. 이번 시간에 알아 볼 부분은 Reserved Area에서도 제일 중요한 BR부분이다. 1.Boot Record(BR) ▶ 볼륨의 첫 번째 섹터(512Byte) ▶ Windows를 부팅시키기 위한 코드와 FAT 설정 값이 있다. ▶Boot Record가 손상되면 Windosws는 해당 볼륨을 인식할 수 없다. 1-1. BPB(B..