Windows Artifact[1] - $MFT(3)

이번 포스팅에서는 $MFT의 속성중 하나인 FILE_NAME에 대해서 알아보겠습니다.

----------------------------------------------------------------------------------------------------------------------------------------

2. $FILE_NAME($30)

$FILE_NAME 속성은 파일이나 디렉터리의 이름을 담는 속성으로 이 속성을 이용하여 파일 또는 디렉터리의 이름을 알 수 있습니다.UTF-16으로 인코딩 저장되며 일반적으로 $STANDARD_INFORMATION 속성 바로 뒤에 오게 되며, 해당 파일이나 디렉터리가 다수의 MFT Entry를 사용하는 경우 $ATTRIBUTE_LIST라는 속성이 존재하게 되므로 그 뒤쪽에 위치합니다.

[그림 1] $FILE_NAME($30)

[그림 2] $FILE_NAME($30) 구조

FILE_NAME($30)속성에는 $STANDARD_INFORMATION($10)속성과 마찬가지로 4가지의 시간 정보(생성 시간, 수정 시간, MFT 수정 시간, 최근 접근 시간)가 존재합니다. 앞서 $STANDARD_INFORMATION($10)속성에서도 시간정보가 4개가 있음을 확인 하였습니다. 즉 한개의 파일이 가지는 시간 정보는 총 8가지가 됩니다. $STANDARD_INFORMATION($10)속성과 $FILE_NAME($30)이 가지는 시간정보의 차이점은 시간 사용자가 파일에 대해 읽거나, 수정하거나 하였을 경우 시간이 변경되는 차이점에 있습니다. $STANDARD_INFORMATION($10)속성은 사용자가 파일을 읽거나 수정하면 시간정보가 변경되지만 $FILE_NAME($30)에 저장되는 시간정보는 시간조작도구를 사용하지 않는 이상 변경이 되지 않습니다.

아래 표는 $FILE_NAME($30)속성 구조를 분석한 내용입니다.

[표 1] $FILE_NAME($30) 분석

다음 포스팅에는 $DATA($80)에 대해서 알아보겠습니다.