NTFS #1

- NTFS Volume Layout

VBR ( Volume Boot Record )

- 파티션 첫번째의 섹터에 위치

- VBR, BR, 파티션 부트 레코드, 부트섹터 등 다양한 이름으로 불림. 이 중 부트섹터는 상황에 따라 달라 이후 설명하겠음

- BPB ( Bios Parameter Block )를 포함하며 BPB에는 MFT의 시작위치, MFT Entry의 크기, 클러스터 크기 등의 정보 포함

 

MFT Zone 

- 볼륨에 존재하는 파일과 디렉토리에 대한 정보를 담고있는 MFT의 영역

- MFT도 파일 형태로 존재함 / 파일 시스템의 성능을 고려해 일정 정도의 영역을 MFT를 위해 임시예약해둠.

- MFT의 사이즈가 커지면 $MFT 역시 분할됨.

 

File Area

- 볼륨에 존재하는 모든 파일과 디렉토리의 실제 데이터가 저장되는 영역

---

MBR의 데이터 구조

출처 : https://galid1.tistory.com/56

운영체제 부팅 시 446bytes 크기의 boot code가 읽히며 파티션 테이블에서 부팅 가능한 파티션을 

찾아 Boot Sector를 호출해주는 역할을 한다. 

최대 주 파티션의 갯수가 4개기 때문에 표 그림처럼 엔트리가 4개이다.( 논리파티션은 4개 이상 가능 )

- 간단히 주 파티션은 OS 부팅을 위한 드라이브로 만든 파티션이며, 논리 파티션은 파일 저장을 위한 파티션으로 만들 수 있는 파티션이다.

 

VBR ( Volume Boot Record )

- NTFS의 맨 앞부분에 위치하는 영역. FAT 예약된 영역과 유사하게 부트 섹터와 추가적인 부트 코드가 저장된다.

- VBR의 크기는 클러스터의 크기에 따라 변동된다.

Cluster Size (Bytes)	VBR Size (Sector)
512	1
1K	2
2K	4
4K	8

---

MFT ( Master File Table )

- $MFT라는 이름으로 NTFS 메타 파일이 저장되어 있다. (파일 위치는 C:\  - 루트 디렉토리에 존재. 시스템 파일 보기 옵션 활성 필요)

// 삭제된 비할당 파일 포함

- MFT 영역은 MFT Entry의 집합으로써 MFT Record 또는 File Record 라고 불리며,NTFS 내에 존재하는 모든 파일 또는 디렉토리는 파일 당 하나 이상의 MFT Entry가 할당됨.

- MFT Entry 크기는 1024byte로 각 파일 및 디렉토리 위치, 시간 정보, 파일 이름, 크기 등의 속성 정보를 담고 있음.

출처 : http://forensic-proof.com/archives/584

$MFT 파일의 HEX 값 분석 이미지

출처 : https://logpresso.com/ko/blog/2020-09-12-ntfs-forensic