[Windows FileSystem] - $LogFile, $MFT, $J 분석(3)

MFT Records

• Entry Header : MFT 엔트리의 메타 정보를 기록하는 48byte 크기의 영역
• Fixup Array : MFT 엔트리 각 섹터의 마지막 2byte 값을 임의의 Fixup 시그니처 값으로 기록함
                       임의로 기록한 Fixup 시그니처 값이 다르면 MFT 엔트리의 오류 발생으로 간주 
• 트렌젝션 : 클러스터 할당 => MFT 엔트리 작성 => MFT 정보 

 

 

Offset to First Attribute를 보고 처음이 몇byte인지 따라가면 알 수 있는데 LSN을 분석하면 된다
Number of this MFT Entry와 Sequence Number을 비교해서 무결성을 증명할 수 있다.

 

$LogFile

71 27 3A BF 2A 00 00 00 : This LSN = 현재 작업 레코드의 LSN

00 00 00 00 00 00 00 00 : Previous LSN

00 00 00 00 00 00 00 00 : Client Undo LSN ⇒ CheckPoint

38 00 00 00 : Client Data Length ⇒ Redo Op부터 크기를 재야함

00 00 00 00 : Client ID

01 00 00 00 : Record Type

E0 00 00 00 : Transcation ID

00 00 : Flags

00 00 00 00 00 00 : Alignment or Reserved

07 00 : Redo Op ⇒ WriteEndofFileRecordSegment

07 00 : Undo Op

28 00 : Redo Offset

08 00 : Redo Length

30 00 : Undo Offset

08 00 : Undo Length

18 00 : Target Attribute

01 00 : LCNs to Follows

38 00 : Record Offset

58 00 : Attribute Offset

00 00 : MFT Cluster Index

02 00 : Alignment or Reserved

E2 C3 00 00 : Target VCN ⇒ logical cluster number

00 00 00 00 : Alignment or Reserved

E2 C3 0C 00 : Target VCN ⇒ logical cluster number

00 00 00 00 : Alignment or Reserved

F8 66 86 DE 02 00 00 00 : Redo Contents

00 00 00 00 00 00 00 00 : Undo Contents