MFT Attribute (2)

What is MFT Attribute?

NTFS 파일시스템에서는 모든 파일(디렉토리)을 하나의 엔트리의 형태로 메타데이터만 저장해 놓는다.
이와 비슷한 내용을 $MFT 에서 다루었었다. 잘 기억이 나지 않는다면 복습하고 오는 것을 추천한다.
MFT Attribute를 한 문장으로 표현하자면 하나의 파일 안에 있는 다양한 속성값들에 대한 리스트다.
이때 말하는 속성은 파일의 시간값과 같은 메타데이터나, 실질적으로 파일의 내용을 담당하는 데이터를 포함하게 된다.
분량이 사실 방대한 편이기 때문에 2개의 게시글에 걸쳐 다룰 예정이다.
이번 글은 두번째 글이다. 각각 Attribute의 종류에 대해서 알아보도록 하겠다.

Table of Contents

Attribute Content

이번 단원에서는 각각의 Attribute 속성마다 어떤 정보를 저장하는지 알아볼 예정이다.
어떤 정보가 저장되는지, 또 어떤 포렌식 관점에서 이 정보를 활용할 수 있는지 알아보자.
정보가 좀 빈약하거나, 중요도가 낮다고 판단되는 영역은 공란으로 개제했으니 참고해서 보면 좋겠다.
추후에 추가할 수 있는 내용이 있다면 추가하도록 하겠다.

$STANDARD_INFORMATION(0x10)

$ATTRIBUTE_LIST(0x20)

$FILE_NAME(0x30)

$OBJECT_ID($VOLUME_VERSION)(0x40)

$SECURITY_DESCRIPTOR(0x50)

$VOLUME_NAME(0x60)

$VOLUME_INFORMATION(0x70)

$DATA(0x80)

$INDEX_ROOT(0x90)

$INDEX_ALLOCATION(0xA0)

$BITMAP(0xB0)

$SYMBOLIC_LINK($REPARSE_POINT)(0xC0)

$EA_INFORMATION(0xD0)

$EA(0xE0)

$LOGGED_UTILITY_STREAM(0xF0)

Analysis Tool

WinHex: Hex Editor & Disk Editor, Computer Forensics & Data Recovery Software
WinHex hex editor, disk editor, RAM editor. Binary editor for files, disks, and RAM. Download HEX EDITOR. Sector editor. Drive editor.
https://www.x-ways.net/winhex/
010 Editor - Pro Text/Hex Editor | Edit 220+ Formats | Fast & Powerful | Reverse Engineering
010 Editor | Pro Text/Hex Editor | Edit 200+ Formats | Reverse Engineering | Data Analysis
https://www.sweetscape.com/010editor/

Conclusion

속성 종류가 여러개 있다 보니 텍스트 양이 좀 많다. 끊어서 포스팅 하려 했으나 모두 같은 내용을 다루고 있기 때문에 다같이 다루었다.
거의 몇주가 걸린 작업이지만 그만큼 얻어갈 수 있는 정보가 많고, NTFS 구성의 대부분을 이해했다고 해도 좋다.
사실 모든 내용을 외울수는 없다. 외우면 좋겠지만, 그걸 외워야 하는 환경에 놓인 것이 아니라면 빠르게 참조할 수 있는 능력을 기르는 것이 중요하다고 생각한다.
그런 관점에서 Forensic-cheatsheet는 참조 능력을 돕는 사이트이다. 많은 관심과 이용 바란다.