목록SE (1)
Piki's Play
NTFS 분석 - 내용 범주
▶ 클러스터 - NTFS 파일은 속성의 집합이다. 속성 중 일부는 거주로 MFT엔트리에 저장하고 일부는 비거주이다. 둘다 클러스터에 내용을 저장한다. 한 클러스터는 연속된 섹터의 그룹이며 클러스터 당 섹터 수는 2의 거듭제곱(1,2,4,8,16...) 이다. - 각 클러스터는 0으로 시작하는 한개의 주소를 갖는다. 클러스터 0은 파일시스템의 첫 번째 섹터이고, 이것은 FAT로 계산하는 방법보다 훨씬 덜 복잡하다. NTFS에서 클러스터를 섹터주소로 변환하기 위해서는 한 클러스터에 섹터수로 클러스터 주소를 나눈다. SECTOR = CLUSTER * sector_per_cluster - NTFS에서 클러스터들은 어떠한 파일이나 속성에 할당 될 수 있다. 그러나 $Boot는 항상 첫 클러스터에만 할당이 된다. ..
포렌식/파일시스템 (파일시스템 포렌식분석)
2020. 3. 5. 16:17