Directory Entry
| 00 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 14 | 15 |
| Name (8글자) | Extension (3자) |
Attr | Reserved | Create Time |
|||||||||||
| Created Date | Last Accessed Date |
Starting Cluster Hi |
Last Written Time |
Last Written Date |
Starting Cluster Low |
File Size | |||||||||
Name : 이름
Extension : 확장자
Attr : 속성
Reserved : 12바이트의 내용은 windows NT의 예약 공간으로 0으로 채워짐
13은 생성된 시간 기록(1/10초 단위)
Create Time : 파일 생성 시간
Create Date : 파일 생성 날짜
Last Accessed Date : 가장 최근의 읽기/쓰기한 날짜(마지막 접근 기록)
Starting Cluster Hi : 파일의 첫 번째 클러스터 번호의 상위 2Byte
Last Written Time : 가장 최근의 수정한 시간
Last Written Date : 가장 최근의 수정한 날짜
Starting Cluster Low : 파일의 첫 번째 클러스터의 하위 2Byte
File Size : 파일의 논리적 크기(단위 : Byte), 디렉터리의 경우 0x00의 값을 가짐
=>
위 Directory Entry는 파일 이름 8자, 확장자 3자 만 가능하는 한계를 가지고 있다.
이를 보완하기 위해 LFNs(Long File Name Entrys) 방식을 만듬.(UTF-16 인코딩, 최대 255자 설정)
->
LFNs :
| 00 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 | 13 | 14 | 15 |
| Order | Name1 | Atrr | type | Check sum | Name2 | ||||||||||
| Name2 | Start cluster low | Name3 | |||||||||||||
Order : LFNs의 순서, 상태를 기록하는 항목(0xE5 : 삭제된 파일/폴더, 01 : 첫번째 순서)
Name1~ : 파일/폴더 이름, 빈 영역은 0xFF로 채워짐
Atrr : 0x0F일 경우 확장된 파일명이라는 뜻
Type : 일반적으로 0x00의 값을 가짐
Checksum : LFNs와 대응되는 Short Directory Entry 의 Checksum을 저장
Start cluster low : 0x00으로 고정
'Window Forensic' 카테고리의 다른 글
| [File System] NTFS "MBR/GPT" Analysis (0) | 2025.03.30 |
|---|---|
| [File System] NTFS (0) | 2025.03.17 |
| [File System] FAT (4) "Data Area" (0) | 2025.03.15 |
| [File System] FAT (5) "Data Area" (0) | 2025.03.15 |
| [File System] FAT (3) "Reserved Area" (0) | 2025.03.15 |