Windows Artifact[1] - $MFT(2)








이번 포스팅에서는 $MFT의 속성중 하나인 STANDARD_INFORMATION에 대해서 알아보겠습니다.

----------------------------------------------------------------------------------------------------------------------------------------



1. $STANDARD_INFORMATION($10)

$STANDARD_INFORMATION 속성은 모든 파일과 디렉터리에 존재하는 속성으로 이 속성은 파일 생성시간과 날짜, 파일의 소유자, 보안, 할당량에 관한 정보를 담고 있습니다. 이 속성은 크기가 변하지 않고 언제나 고정되어 있으므로 항상 Resident 형태를 유지하고 있고, NTFS를 구성하는 필수적인 정보를 담진 않지만 여러 응용프로그램 레벨의 기능들이 이 속성을 참고하고 있습니다.


[그림 1] $STANDARD_INFORMATION(1)




[그림 2$STANDARD_INFORMATION(2)



$STANDARD_INFORMATION에서 눈여겨 봐야할 내용은 시간 정보 입니다. 속성의 4개의 시간 정보 (생성 시간, 수정 시간, MFT 수정 시간, 최근 접근 시간)는 모두 8바이트로 구성되어 있습니다. , 시간 정보 표현을 위해 64비트를 사용합니다. 64비트의 사용으로 인해 100 Nano초 까지표현이 가능하며, 16011100:00:00 UTC를 기준으로 합니다. 64비트의 시간 변환은 Time Decode를 통해 쉽게 변환 할 수 있습니다.

시간 정보에 나오는 시간은 사용자가 파일에 마우스를 올린 후 [마우스 우클릭] - [속성]에 나오는 시간정보를 나타냅니다.해당 시간정보는 사용자가 파일을 읽거나, 수정하거나, 엑세스 할 경우 정보가 변경됩니다.


아래 표는 $STANDARD_INFORMATION의 필드를 분석한 내용입니다.

[표 1] $STANDARD_INFORMATION 속성 분석






지금 까지 $STANDARD_INFORMATION에 대해서 알아 보았으며, 다음 포스팅에는 $STANDARD_INFORMATION와 비슷한 정보를 담고 있는 $FILE_NAME에 대해서 알아 보겠습니다.

'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Windows Artifact[4] - Recycle  (0) 2018.03.13
Windows Artifact[1] - $MFT(3)  (0) 2018.03.12
Windows Artifact[1] - $MFT(1)  (0) 2018.03.05
Window Web browser-Analysis[3]  (0) 2018.01.04
Window Web browser-Analysis[2]  (0) 2018.01.01

이 글을 공유하기

댓글