NTFS 파일 시스템이 뭐양
NTFS(New Technology File System)는 1993년 Microsoft가 개발한 파일 시스템으로 Windows의 표준이 되었다.
주로 어디에 사용됨?
- 내부 및 외부 하드 드라이브
- Windows 컴퓨터
- 서버 및 NAS 장치
- 고성능 워크스테이션
- 가상 머신
구성 요소
- 파티션 부트 섹터(PBS):
- $Boot 레코드에 저장
- 운영 체제 부팅 정보와 파일 시스템 레이아웃 포함
- 데이터 영역:
- 실제 파일과 디렉토리 저장
- $Bitmap 파일이 클러스터 할당 상태 추적
- 마스터 파일 테이블(MFT):
- $MFT 파일에 저장된 중앙 데이터베이스
- 모든 파일과 디렉토리의 정보 관리
- $MFTMirr가 MFT 첫 부분 백업
중요 파일과 기능
- $AttrDef: 파일 속성 유형 정의
- $Secure: 보안 설명자와 액세스 제어 목록(ACL) 관리
- $LogFile: 저널링 기능으로 메타데이터 변경 기록
- $UsnJrnl: USN 변경 저널로 파일 변경 추적
저장 단위
- 섹터: 일반적으로 512바이트, 최대 4KB
- 클러스터: 512바이트에서 64KB까지 (볼륨 크기에 따라 다름)
파일 저장 과정
- 클러스터 공간 할당 ($Bitmap 사용)
- 파일 메타데이터를 $MFT에 기록
- 작은 파일(~1KB 미만): MFT에 직접 상주 데이터로 저장
- 큰 파일: 별도 클러스터에 비상주 데이터로 저장, MFT의 data runs로 위치 추적
- 트랜잭션 로깅으로 변경 사항 안전하게 관리
https://hanbunny.tistory.com/1
NTFS의 개념과 VBR, MFT
NTFSNTFS(New Technology File System)는 FAT를 대체하기 위해 나온 파일 시스템이다.윈도우 NT이후 부터 사용됐음.FAT보다 용량, 보안 부분에서 우수하지만 NT 계열에서만 사용이 가능해 FAT보다는 호환성이
hanbunny.tistory.com
https://hanbunny.tistory.com/75
[디지털 포렌식] FAT 파일 시스템의 구조와 특징
FAT 파일 시스템이 뭐양FAT 파일 시스템은 디지털 장치가 정보를 저장하고 관리하는 방식을 결정하는 중요한 기술이다.요즘 컴퓨터의 주 저장장치에서는 역할이 많이 줄어들었지만, 여전히 일상
hanbunny.tistory.com
'Windows forensic > Forensic Basics' 카테고리의 다른 글
| [디지털 포렌식] NTFS의 MFT(마스트 파일 테이블)란? (1) | 2025.03.12 |
|---|---|
| [디지털 포렌식] FAT 파일 시스템의 구조와 특징 (1) | 2025.03.12 |
| 활성(라이브)데이터 vs 비활성 데이터 (0) | 2025.02.26 |
| 라이브 리스폰스(Live Response)란? (0) | 2025.02.25 |
| NTFS의 개념과 VBR, MFT (0) | 2025.02.06 |