반응형 MFT2 [Forensic] 윈도우 파일 메타데이터(MFT, MAC 시간) 1. 파일 메타데이터 파일은 두 종류의 메타데이터를 포함하는데, 이것은 애플리케이션이 파일을 인지하고 실행할 때 사용된다. 내부 메타데이터는 파일 안에 포함돼 있으며, 바이너리 스트링이나 텍스트 스트링으로 구성돼 있다. 보통 메타데이터를 구성하고 있는 세가지는 MFT 속성, 파일 헤더, 매직 넘버이다. MFT 속성 현재 윈도우에서 사용되는 NTFS 파일 시스템은 메타데이터 파일에 파일 관련 정보를 갖고 있다. 메타데이터 파일은 디스크가 NTFS로 포맷될 때 생성된다. 그 후 모든 파일은 하나 이상의 MFT 레코드로 드라이브에 복사된다. MFT 레코드는 운영체제 부팅 정보에 관한 속성을 포함한다. 다음 표는 NTFS에서 사용되는 MFT 속성에 할당된 16진수를 보여준다. 속성 이름 16진수 값 사용하지 않.. 2021. 6. 7. [Forensic] Windows 파일 시스템(NTFS) 개요 마이크로소프트 파일 시스템 하드 디스크는 섹터로 분리된다. 그러나 대부분의 파일 시스템은 파티션이 520MB보다 클 경우 단일 섹터를 읽을 수 없다. 클러스터 내에는 4개부터 64개의 섹터가 만들어진다. 클러스터는 하나 이상의 파일에서 데이터를 가져올 수 없다. 포맷한 파티션의 크기와 사용하는 파일 시스템에 따라 클러스터는 잠재적으로 32KB만큼 클 수 있다. 파일이 800바이트 뿐이라면 클러스터 전체를 차지하고, 남아있는 31KB 이상은 디스크 슬랙이 된다. 파일 시스템 최소/최대 파티션 크기 최소/최대 클러스터 크기 FAT16 2021. 5. 20. 이전 1 다음 반응형
