$MFT - Master file table.
NTFS의 핵심이라고 할 수 있다.
$MFT Entry의 나열로 이루어져있으며, 파일의 MAC time + MFT Entry 자체의 수정 시간도 기록하고 있다.
앞 서서 공부했던 $FILE_NAME, $STANDARD_INFORMATION 등의 속성이 여기에 포함된다. 단순하게는 파일의 이름이 변할 때는 FILE NAME이, 그 외에는 STANDARD INFORMATION이 변한다고 생각하면 된다. 구체적인 사항은 나중에 다시 살펴보자.
이 외에도 또 $DATA, $ Security DESCRIPTOR등의 정보들도 포함하고 있다. 각각의 속성들은 Flag를 통해서 구분할 수 있다.
$Logfile
모든 트랜잭션 작업을 레코드 단위로 기록하는 파일이다.
File, Directory의 생성, 삭제, 수정 그리고 MFT Entry의 수정등이 기록된다.
$UsnJrnl
응용 프로그램의 활동 이력을 파악하기 위해서 사용된다.
Forensic/Security/IT