본문 바로가기 메뉴 바로가기

N0cT1s41

프로필사진
  • 글쓰기
  • 관리
  • 태그
  • 방명록
  • RSS

N0cT1s41

검색하기 폼
  • IT (105)
    • Programing (3)
      • PYTHON (3)
    • Digital Forensics (47)
      • 디지털 포렌식 개론 (8)
      • DISK Forensic (13)
      • File System (6)
      • Artifact (8)
      • Memory Forensic (4)
      • File Structure (5)
      • Tools (2)
      • Anti-Forensic (1)
    • Incident Response (3)
      • MITRE ATT&CK (3)
    • CTF (52)
      • MEMLABS (7)
      • CyberDefenders (20)
      • root me (8)
      • FIESTA (2)
      • Net-Force (1)
      • Dreamhack (5)
      • CTF-D (4)
      • 기타 CTF (5)
  • 방명록

파일 삭제 (1)
NTFS 파일 시스템 삭제 원리

1. NTFS 파일 삭제 원리NTFS에서 파일이 삭제될 때, 데이터가 즉시 제거되는 것이 아니라 파일이 위치했던 MFT($MFT, Master File Table) 엔트리가 "사용 가능" 상태로 변경되고, 해당 파일이 저장된 클러스터가 새로운 데이터로 덮어쓰기될 수 있도록 예약된다. 즉  파일의 메타정보만 삭제하고 실제 데이터는 남아있게 된다. 그렇기에 파일을 삭제하여 메타정보가 지워 지더라도 실제 데이터가 남아 있으므로 삭제된 이후 파일을 복구할 수 있게 된다.1.1 파일 삭제 과정MFT 엔트리 수정: 파일의 MFT 엔트리가 삭제됨으로 표시되지만 데이터는 여전히 디스크에 존재한다.디렉토리 인덱스 업데이트: 파일이 속해 있던 디렉토리의 인덱스에서 해당 파일 정보가 제거된다.클러스터 할당 해제: 파일이 저..

Digital Forensics/File System 2025. 2. 13. 13:19
이전 1 다음
이전 다음

Blog is powered by Tistory / Designed by Tistory

티스토리툴바