FILE Record
-
[FileSystem] FILE Record - Fixup Array$ Wargame $/$ digital forensic $ 2020. 1. 29. 17:20
FILE Record에서 Fixup Array 부분에 대한 문제 인것 같습니다. 해당 파일의 hex값을 확인해 보면 아래와 같습니다. key{}의 Flag 형식은 확실하게 눈에 들어 옵니다. MFT Entry Header 의 구조를 확인해 보면 아래와 같습니다. 노란색 부분을 유심히 보면 Fixup Array 관련 데이터를 가지고 있습니다. 각각의 데이터가 어떤 의미를 가지는지 아래의 표를 확인해 보겠습니다. Offset to Fixup Array 는 Fixup Array의 시작위치를 의미합니다. 해당 값을 확인해 보면 0x30 이라는 것을 알 수 있고, 해당 값을 확인해 보겠습니다. Fixup은 MFT Entry의 데이터 무결성을 판단하기 위해 존재합니다. MFT Entry는 각 2개의 섹터(1024 ..
-
[FileSystem] FILE Record - Filename, Contents$ Wargame $/$ digital forensic $ 2020. 1. 29. 12:48
문제파일을 받아서 hex값을 확인해 보면 46 49 4c 45 의 FILE Header Signature 를 가지고 있습니다. 디스크 조각의 일부라고 하는데, MFT File 이라는 것을 알게 되었습니다. 실제 MFT 파일의 HEX값을 확인해보면 아래와 같습니다. 아래의 파일은 첨부된 File인 filerecord01의 Hex값을 확인해 보면 아래와 같습니다. 그렇기 때문에 첨부된 파일은 MFT File의 조각이라는 것을 알수 있습니다. MFT File 이란? NTFS 상의 모든 파일들의 MFT Entry 정보를 유지하고 있으며, MFT 영역의 크기, 위치, 할당 정보를 저장하고 있는 파일입니다. 또한 기본적으로 MFT 파일에 데이터를 저장하지는 않지만 파일의 용량이 700바이트 이하면 MFT Entry..