NTFS(New Technology File System)
1. NTFS 소개
- FAT의 한계점을 개선하기 위해 개발되었고, Windows NT부터 현재 Windows 10까지 사용되고있다.
- 이전 FAT32 파일 시스템에 비해 디스크 관련 오류로부터 자동적으로 복구할 수 있는 기능, 대용량 하드 디스크에 대한 재원 개선, 보안 강화로 사용 권한 및 암호화를 통해 특정 파일에 대한 특정 사용자의 엑세스 제한 등의 장점을 가지고 있다.
NTFS 1.0
- Windows NT의 최초 판매 버전인 Windows NT 3.1에 포함된 버전으로 최초로 공개된 버전이다.
NTFS 1.2
- Windows NT 4.0에 포함된 버전. NT 4.0이 나온 뒤 Windows NT가 많이 사용되기 시작하면서 실제적으로 가장 널리 쓰이고 있는 버전이다.
NTFS 3.0(NTFS 6.0)
- Windows 2000(Windows NT 5.0)에 포함된 버전으로 다음과 같은 기능들이 추가되었다.
Reparse Point 지원
개선된 보안과 권한
변경 일지(Change Journals) 기능
암호화
디스크 쿼터(Disk Quota) 기능
Sparse 파일 지원
디스크 조각 모음 지원
NTFS 3.1(NTFS 5.1)
- Windows XP와 Windows Server 2003에 포함된 버전. 기본적으로 5.0과 거의 동일하며 호환 가능하다.
2. NTFS 구조
- Boot Record
: 반드시 볼륨의 첫 번째 섹터에 위치해야 한다. 이 영역에서는 부팅을 위한 코드(기계어)와 NTFS의 설정 값들이 있다. 사용자는 Boot Record를 분석함으로써 볼륨의 크기, 클러스터 크기, MFT의 시작 주소와 같은 중요한 정보를 알 수 있다.
- MFT(Master File Table)
: 볼륨에 존재하는 모든 파일과 디렉터리 정보를 담고 있다. MFT는 데이터 영역에 존재하는 파일로 관리되며, MFT Entry라는 자료들의 집합으로 구성 된다. MFT Entry는 0번부터 시작하는 고유한 주소를 가지며, 0번부터 15번까지의 16개 MFT Entry는 시스템 파일용으로 예약되어 있다.
- Data Area
: 파일과 디렉터리를 담는 영역으로 FAT 파일시스템과 같이 클러스터 단위로 읽기/쓰기가 이루어진다. NTFS는 볼륨의 크기가 크더라도 클러스터 크기를 4,096Bytes로 고정하는 이는 NTFS의 압축 기능과 관련된다.
3. NTFS 특징
- 데이터 복구 기능
: 데이터의 신뢰성을 높이기 위해서 볼륨에 수행하는 모든 작업에 대해 트랜잭션 단위로 기록하고 있다. 이는 작업 도중에 어떤 문제가 발생하였을 경우 이런 기록을 조사해 봄으로써 볼륨의 상태를 정상적으로 복구할 수 있게 한다.
- 암호화 기능
: EFS(Encryption File System)라고 부른다. 파일을 FEK로 암호화 후 이것을 사용자가 가진 공개키로 암호화해 암호화된 파일의 $EFS ADS에 저장한다. 복호화 할 때는 개인 키로 $EFS 스트림에 저장된 암호화된 FEK를 복호화한다. 그 다음 암호화가 풀린 FEK 대칭 키로 파일을 복호화한다. 암/복호화가 NTFS 단계 아래에서 이루어지기 때문에 사용자와 프로그램은 암호화된 파일을 일반 파일처럼 쓸 수 있다. 파일 시스템에서 폴더에 암호화 속성을 걸 수 있다.
- 압축
: 파일시스템 수준의 압축 기능을 제공한다. 압축 알고리즘은 ZIP 파일 포맷으로 유명한 'LZ77'의 변형된 방식을 사용한다.
- 디스크 쿼터
: 사용자다마 디스크의 사용량을 제한하는 기능이다. NTFS는 다수의 사용자들이 하나의 컴퓨터를 쓰는 것을 기본으로 설계했는데, 다른 사람이 디스크 용량을 모두 다 사용하는 것을 막기 위해 관리자가 사용자들마다 할당량을 설정할 수 있게 한 것이다.
- ADS(Alternate Data Stream)
: NTFS는 다중 데이터 스트림을 지원한다. 이것은 하나의 파일이 하나 이상의 데이터를 담을 수 있다는 의미이다. 예를 들어 파일의 첫 번째 스트림에는 파일의 내용을 담고, 두 번째 스트림에는 파일의 요약 정보나 파일의 아이콘 등 여러 정보를 담아 둘 수 있다. 파일에 추가된 ADS는 Windows 탐색기를 통해 확인할 수가 없어 정보 은닉 용도로 사용될 수 있다.
- Sparse 파일
: 이것은 파일의 내용이 대부분 0으로 차있을 경우 해당 파일의 내용을 그대로 볼륨에 저장하지 않고, 그 정보만을 유지하는 파일을 말한다. 예를 들어 1MB의 파일의 맨 처음 4KB에만 의미 있는 데이터가 있고 나머지에는 전부 0이 적혀 있다면, 이 파일에는 의미있는 4KB만을 저장하고 나머지 영역이 0으로 채워져 있다는 정보만을 기록한다.
- 대용량 파일 지원
: NTFS는 이론상 무려 Exa Byte(2의 64승)까지의 용량을 표현할 수 있다. 그러나 이것은 이론상의 값이며, 실제는 2의 44승 약 16TB 정도까지 표현할 수 있는 크기이다.
- VSS(Volume Shadow Copy Service) 지원
: 새롭게 수정된 파일 및 폴더에 대해 백업본을 유지하는 기능
- 동적 Bas Cluster 재할당
: Bad Sector가 발생한 클러스터에 있는 정상 데이터를 자동으로 새롭게 할당한 클러스터에 복사하는 기능
- Unicode 지원
'정보보안 > 디지털 포렌식' 카테고리의 다른 글
| 증거법 (0) | 2019.09.04 |
|---|---|
| 디지털 증거 보장 위한 제도적 장치 (0) | 2018.11.15 |
| FAT(File Allocation Table) (0) | 2018.10.10 |
| 디지털 포렌식 도구 (0) | 2018.10.02 |
| 디지털 포렌식 5대원칙 (0) | 2018.09.30 |
댓글
이 글 공유하기
다른 글
-
증거법
증거법
2019.09.04 -
디지털 증거 보장 위한 제도적 장치
디지털 증거 보장 위한 제도적 장치
2018.11.15 -
FAT(File Allocation Table)
FAT(File Allocation Table)
2018.10.10 -
디지털 포렌식 도구
디지털 포렌식 도구
2018.10.02