Windows Artifact[1] - $MFT(2)

이번 포스팅에서는 $MFT의 속성중 하나인 STANDARD_INFORMATION에 대해서 알아보겠습니다.

----------------------------------------------------------------------------------------------------------------------------------------

1. $STANDARD_INFORMATION($10)

$STANDARD_INFORMATION 속성은 모든 파일과 디렉터리에 존재하는 속성으로 이 속성은 파일 생성시간과 날짜, 파일의 소유자, 보안, 할당량에 관한 정보를 담고 있습니다. 이 속성은 크기가 변하지 않고 언제나 고정되어 있으므로 항상 Resident 형태를 유지하고 있고, NTFS를 구성하는 필수적인 정보를 담진 않지만 여러 응용프로그램 레벨의 기능들이 이 속성을 참고하고 있습니다.

[그림 1] $STANDARD_INFORMATION(1)

[그림 2] $STANDARD_INFORMATION(2)

$STANDARD_INFORMATION에서 눈여겨 봐야할 내용은 시간 정보 입니다. 속성의 4개의 시간 정보 (생성 시간, 수정 시간, MFT 수정 시간, 최근 접근 시간)는 모두 8바이트로 구성되어 있습니다. 즉, 시간 정보 표현을 위해 64비트를 사용합니다. 64비트의 사용으로 인해 100 Nano초 까지표현이 가능하며, 1601년 1월 1일 00:00:00 UTC를 기준으로 합니다. 64비트의 시간 변환은 Time Decode를 통해 쉽게 변환 할 수 있습니다.

시간 정보에 나오는 시간은 사용자가 파일에 마우스를 올린 후 [마우스 우클릭] - [속성]에 나오는 시간정보를 나타냅니다.해당 시간정보는 사용자가 파일을 읽거나, 수정하거나, 엑세스 할 경우 정보가 변경됩니다.

아래 표는 $STANDARD_INFORMATION의 필드를 분석한 내용입니다.

[표 1] $STANDARD_INFORMATION 속성 분석

지금 까지 $STANDARD_INFORMATION에 대해서 알아 보았으며, 다음 포스팅에는 $STANDARD_INFORMATION와 비슷한 정보를 담고 있는 $FILE_NAME에 대해서 알아 보겠습니다.