B1ueJay
NTFS 파일 시스템 - (1)VBR 본문
New Technology File System
NTFS는 FAT의 한계를 개선한 새로운 파일 시스템이다. FAT와 비교해보면 디스크 관련 오류로부터 자동으로 복구할 수 있는 기능, 대용량 하드 디스크에 대한 지원, 사용 권한 및 암호화를 통해 특정 파일에 대한 특정 사용자의 액세스 제한과 같은 보안 기능 강화 등 여러 기능을 제공한다. NTFS의 구조는 크레 VBR(Volume Boot Record), MFT(Master File Table), 데이터 영역으로 크게 세 영역으로 나눌 수 있다.
구조(Structure)
VBR(Volume Boot Record)
- 첫 섹터에 위치해 있음
- Volume Boot Record, Master File Table, Data Area 영역별로 이루어져 있음
- 볼륨의 크기, 클러스터 크기, MFT의 시작 주소가 담겨 있음
- VBR 영역의 크기는 볼륨 클러스터 크기에 따라 서로 다르게 존재
| 클러스터 크기 | VBR 크기(Sector) |
| 512 Bytes | 1 |
| 1KB | 2 |
| 2KB | 4 |
| 4KB | 8 |
Boot Sector
- Boot Code, BIOS Parameter Block, Error Message, Signature 정보를 가지고 있음
| 범위 | 설명 | |
| Bytes | Hex | |
| 0 ~ 2 | 0x000 ~ 0x002 |
Jump Boot Code 부트 코드로 점프하기 위한 명령어 (기본값: 0EB5290) |
| 3 ~ 10 | 0x003 ~ 0x00A |
OEM ID Usually "NTFS____" |
| 11 ~ 12 | 0x00B ~ 0x00C | Bytes per Sector |
| 13 | 0x00D | Sectors per Cluster |
| 14 ~ 15 | 0x00E ~ 0x00F |
Reserved Sectors Always 0 |
| 21 | 0x015 |
Media Descriptor Fixed at 0xF8 |
| 24 ~ 25 | 0x018 ~ 0x019 | Sector per Track |
| 26 ~ 27 | 0x01A ~ 0x01B | Number of Heads |
| 28 ~ 31 | 0x01C ~ 0x01F | Hidden Sectors |
| 40 ~ 47 | 0x028 ~ 0x02F | Total Sectors |
| 48 ~ 55 | 0x030 ~ 0x037 |
Start Cluster for $MFT $MFT의 LBA 주소 |
| 56 ~ 63 | 0x038 ~ 0x03F |
Start Cluster for $MFT Mirr $MFT Mirr($MFT의 백업)의 LBA 주소 |
| 64 ~ 67 | 0x040 ~ 0x043 | Clusters per File Record Segment |
| 68 ~ 71 | 0x044 ~ 0x047 | Clusters per Index Buffer |
| 72 ~ 79 | 0x048 ~ 0x04F | Volume Serial Number |
'Digital Forensic > File System' 카테고리의 다른 글
| NTFS 파일 시스템 - (3)데이터 영역 (0) | 2019.11.19 |
|---|---|
| NTFS 파일 시스템 - (2)MFT (0) | 2019.11.14 |
| FAT 파일 시스템 - (3)데이터 영역 (0) | 2019.11.04 |
| FAT 파일 시스템 - (2)FAT 영역 (0) | 2019.11.02 |
| FAT 파일 시스템 - (1)예약 영역 (0) | 2019.11.01 |