정보보안공부

@@ BR 분석-> BR의 시작위치 : 63번 섹터 ** BR 분석 [ BR 분석 ]4E 54 46 53 20 20 20 20 : OEM Name으로 NTFS를 의미한다.00 02 : Bytes Per Sector로 1개의 섹터가 512Byte를 의미한다.08 : Sector per Cluster로 1개의 클러스터는 8개의 섹터를 의미한다.E8 D5 FF 01 00 00 00 00 : 섹터의 총 개수는 33543657개 ( 33543657 x 512바이트 = 파티션용량 ) 00 00 0C 00 00 00 00 00 : MFT 시작위치를 나타낸다. ( 단위가 클러스터이므로 x8 해야한다. )786432 x 8 + BR의 시작위치 => 6291456 + 63 = 62915195E FD 1F 00 00 00 ..

@@ Base MFT Entry & Non-Base MFT Entry ** Base MFT Entry : 파일의 정보를 하나의 MFT Entry에 담지 못할 경우 여러개의 MFT Entry를 사용하게 되는데 이때 처음 MFT Entry** non-Base MFT Entry : Base MFT Entry 이외의 MFT Entry -> 32번 MFT Entry 경우 : File Reference to Base MFT Entry 가 22 00 00 00 00 00 xx xx ( xx xx 는 34번 MFT Entry의 Sequence Value 값을 사용 )-> 36번 MFT Entry 경우 : File Reference to Base MFT Entry 가 22 00 00 00 00 00 xx xx ( xx ..

@@ MFT 속성 분석 -> MFT Entry 구조에서 빨간부분은 MFT Entry에 각 속성들이고, 각 속성들은 속성해더와 속성내용 또는 속성해더와 Cluster Runs구조체 형태가 있다. [ 속성의 헤더 ] : 2가지 형태가 존재한다. -> Resident Attribute 헤더& Non-Resident Attribute 헤더 *** Resident Attribute 헤더 *** Non-Resident Attribute 헤더 -> Offset Runlist 값은 Attr Type ID 맨 앞에서부터 Runlist 값만큼 Bytes단위로 이동하면 그위치가 Cluster Run 구조체가 있는 위치이다. -> Starting VCN of runlist와 Ending VCN of Runlist 를 이용해 ..

@@실습환경 - 16기가 하드를 추가하고 하나의 파티션으로 구성한다. - 바탕화면에 test.txt / Testdir / testdirfile.txt 3개를 만들어놓고- test.txt를 E드라이브로 복사- Testdir을 E드라이브로 복사- C:\Windows\iis6.log를 E드라이브로 복사 @@ NTFS ( New Technology File System ) - WinHex사용- 16G 하드디스크 만든후 16G 전체를 파티션 한개로 생성- 해당 하드디스크안에 test.txt 파일생성, Testdir 디렉토리생성, Testdir 디렉토리안에 testdirfile.txt 파일생성 *** NTFS 특징- 데이터 복구기능- 암호화 ( NTFS 5.0 부터 지원 )- 압축- 디스크 쿼터 ( NTFS 5.0..