NTFS(New Technology File System)
출처 : forensic-proof.com
NTFS의 전체적인 구조는 위와 같다.
아래는
NTFS의 Boot Record 의 구조이다.
| Byte Range | Description | |
| Decimal | Hexadecimal | |
| 0 – 2 | 0x0000 – 0x0002 | Jump command to boot code (usually 0xEB5290) |
| 3 – 10 | 0x0003 – 0x000A | OEM ID (typically "NTFS ") |
| 11 – 12 | 0x000B – 0x000C | Bytes per sector |
| 13 – 13 | 0x000D – 0x000D | Sectors per cluster |
| 14 – 15 | 0x000E – 0x000F | Reserved |
| 16 – 18 | 0x0010 – 0x0012 | Always 0 |
| 19 – 20 | 0x0013 – 0x0014 | Unused |
| 21 – 21 | 0x0015 – 0x0015 | Media descriptor |
| 22 – 23 | 0x0016 – 0x0017 | Always 0 |
| 24 – 25 | 0x0018 – 0x0019 | Sector per track |
| 26 – 27 | 0x001A – 0x001B | Number of heads |
| 28 – 31 | 0x001C – 0x001F | Hidden sectors |
| 32 – 35 | 0x0020 – 0x0023 | Unused |
| 36 – 39 | 0x0024 – 0x0027 | Unused |
| 40 – 47 | 0x0028 – 0x002F | Total secotrs |
| 48 – 55 | 0x0030 – 0x0037 | Logical cluster Number for the file $MFT |
| 56 – 63 | 0x0038 – 0x003F | Logical cluster Number for the file $MFTMirr |
| 64 – 67 | 0x0040 – 0x0043 | Clusters per file record segment |
| 68 – 71 | 0x0044 – 0x0047 | Clusters per index block |
| 72 – 79 | 0x0048 – 0x004F | Volume serial number |
| 80 – 83 | 0x0050 – 0x0053 | Checksum |
| 84 – 509 | 0x0054 – 0x01FD | Boot code and error message |
| 510 – 511 | 0x01FE – 0x01FF | Signature ("0x55AA") |
출처 : forensic-proof.com
빨간색 음영되있는 부분은 중요한 부분이다.
cluster란 말이 나오는데 클러스터는 파일 시스템이 파일을 저장하기 위해 할당할 수 있는 가장 작은 디스크 공간이다.
cluster의 크기는 VBR의 크기에 영향을 주는데
| Cluster Size (Byte) | VBR Size (Sector) |
| 512 | 1 |
| 1K | 2 |
| 2K | 4 |
| 4K | 8 |
출처 : forensic-proof.com
실재 덤프 내용이다.
출처 : forensic-proof.com
추가적인 VBR영역도 있는데 이는 NTLDR(NT LOARDER)을 빠르게 로드하기 위함이다.
'포렌식 > 파일시스템' 카테고리의 다른 글
| MBR VBR에 관하여 (0) | 2016.07.04 |
|---|