파일시스템의 이해 3(MFT)

MFT?

파일의 위치. 속성, 시간정보, 이름, 크기 등 메타데이터를 저장.

MFT 영억은 파일시스템의 파일, 디렉토리 수에따라 동적으로 할당됨.

MFT는 MFT ENTRY의 집합임.

 

 

ENTRY 넘버가 지정되지 않은 것들도 있다.

 

각각의 MFT ENTRY는 헤더와 속성으로 이루어져 있다.

LSN - 로그파일의 순서번호

FLAGS - 파일이 사용중, 삭제, 디렉토리인지 등을 나타내는 플레그

 사

 

WINHEX이용 MFT 영역확인

파일을 하나 클릭해보면 파일영역으로 들어와있는데

우클릭 - Navigation - seek file record 클릭

 

MFT Entry 영역을 확인가능.

오른쪽 체크표시 - templete 클릭

 

MFT  ENTRY를 해석해준다.

FLAG 1은 살아있는 파일을 의미함. 디렉토리는 3

 

 

MFT Entry Attribute

파일의 메타정보들을 나타냄

헤더와 속성 내용이 나열되고 속성은 크기에따라 Resident/non- Resident로 나뉨

크기가크면 데이터영역에 저장됨.

 

WINHEX에서 MFT ENTRY ATTRIBUTE 속성 확인가능

Record change 시간은 modificaion 시간보다 같거나 이후시간을 항상 가짐.

ntfs 시스템에서 하나의파일은 8개의 시간정보를 가짐.

 

 

MFT ENTRY RECORD는 1024바이트값을 가짐

파일데이터가 사용할수 있는 공간보다 크면 NON-RESIDENT 플레그를 1로 세팅.