Fixup Array
-
[FileSystem] FILE Record - Fixup Array$ Wargame $/$ digital forensic $ 2020. 1. 29. 17:20
FILE Record에서 Fixup Array 부분에 대한 문제 인것 같습니다. 해당 파일의 hex값을 확인해 보면 아래와 같습니다. key{}의 Flag 형식은 확실하게 눈에 들어 옵니다. MFT Entry Header 의 구조를 확인해 보면 아래와 같습니다. 노란색 부분을 유심히 보면 Fixup Array 관련 데이터를 가지고 있습니다. 각각의 데이터가 어떤 의미를 가지는지 아래의 표를 확인해 보겠습니다. Offset to Fixup Array 는 Fixup Array의 시작위치를 의미합니다. 해당 값을 확인해 보면 0x30 이라는 것을 알 수 있고, 해당 값을 확인해 보겠습니다. Fixup은 MFT Entry의 데이터 무결성을 판단하기 위해 존재합니다. MFT Entry는 각 2개의 섹터(1024 ..