반응형
[MFT(Master File Table)]
MFT는 NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조이다. 하나의 파일당 하나의 MFT 엔트리를 가지며, $MFT는 MFT 엔트리들의 집합을 말한다. 이때, $는 Windows 환경에서의 시스템 파일을 의미한다.
MFT 엔트리는 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있으며 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.
[MFT Practice]
FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 [root]\$MFT를 추출한다. 추출한 $MFT을 보기 위해 MFTExplorer를 다운로드한다.
https://ericzimmerman.github.io/#!index.md
Eric Zimmerman's tools
ericzimmerman.github.io
추출한 $MFT를 불러오면 왼쪽 상단에서 파일 시스템의 구조를 확인할 수 있다.
반응형
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| 바로가기(.LNK) 개념 및 실습 (0) | 2022.07.27 |
|---|---|
| $LogFile, $UsnJrnl 개념 및 실습 (0) | 2022.07.27 |
| Windows Registry 실습 (0) | 2022.07.23 |
| Registry 개념 및 실습 (0) | 2022.07.17 |
| OlympicDestroyer - Volatility Contest 2018 풀이 (1) | 2022.07.14 |
