DATA area 구조
- 파일이나 디렉토리 데이터가 실제로 저장되고 기록 됨.
- Data Area 부분의 첫 섹터는 'Root Directory' 가 저장됨.
- 파일이나 디렉토리는 클러스터로 'Directory Entry' 라는 구조체 형식으로 저장. 크기는 32 byte
1. Directory Entry :
: 파일 이름이 7byte 이하 = "Regular Directory Entry"
파일 이름이 8byte 이상 = "Long name Directory Entry"
| 오프셋 | 설명 |
| Name | 이름 |
| Extension | 확장자 |
| Attr | 속성 |
| Reserved | 12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐 13은 생성된 시간 기록(1/10초 단위) |
| Create Time | 파일 생성 시간 |
| Create Date | 파일 생성 날짜 |
| Last Accessed Date | 가장 최근의 읽기/쓰기한 날짜(마지막 접근 기록) |
| Starting Cluster Hi | 파일의 첫 번째 클러스터 번호의 상위 2Byte |
| Last Written Time | 가장 최근의 수정한 시간 |
| Last Written Date | 가장 최근의 수정한 날짜 |
| Starting Cluster Low | 파일의 첫 번째 클러스터의 하위 2Byte |
| File Size |
파일의 논리적 크기(단위 : Byte), 디렉터리의 경우 0x00의 값을 가짐 |
| 오프셋 | 설명 |
| Order | LFNs의 순서, 상태를 기록하는 항목(0xE5 : 삭제된 파일/폴더, 01 : 첫번째 순서) |
| Name1~ | 파일/폴더 이름, 빈 영역은 0xFF로 채워짐 |
| Atrr | 0x0F일 경우 확장된 파일명이라는 뜻 |
| Type | 일반적으로 0x00의 값을 가짐 |
| Checksum | LFNs와 대응되는 Short Directory Entry 의 Checksum을 저장 |
| Start cluster low | 0x00으로 고정 |
'Window Forensic > File System' 카테고리의 다른 글
| [File System] NTFS "MBR/GPT" Analysis (0) | 2025.03.30 |
|---|---|
| [File System] NTFS (0) | 2025.03.17 |
| [File System] FAT (3) "FAT Area" (0) | 2025.03.15 |
| [File System] FAT (2) "Reserved Area" (0) | 2025.03.15 |
| [File System] FAT (0) | 2025.03.15 |