$MFT란
NTFS의 구조는 MBR(gpt)-VBR-MFT-file 순으로 되어있다,
여기서 MFT는 MFT ENTRY로 이루어져 있다. MFT ENTRY중 하나가 $MFT이다. $MFT는 MFT의 정보를 가지고 있다. 즉 파일들의 정보를 가지고 있다. 참고로 파일 하나당 MFT ENRTY가 하나이상 만들어진다.
추가적으로 MFT ENTRY는 HEAEDER - fixuparrary- 속성 헤더(헤더가 두개로 나뉨) - 속성 정보 - endmarker - 사용하지 않는 공간으로 되어있다.
실습
$MFT는 ftk imager로 열면 root아래에 존재한다. 이를 MFTExplorer로 분석해보았다.
알수 있는 정보: 속성 헤더 관련된 정보, 파일 구조, 파일 종류, 파일 시간 등
포렌식을 공부하는 학생입니다.