NTFS

NTFS

New Technology File System

 

파일 시스템의 한 종류로 FAT의 구조상 한계점을 개선하기 위해 개발되었다. (FAT은 나중에 따로 정리 예정)

+) Windows NT 이상에서 사용 가능 

http://forensic-proof.com/archives/429

구조

 

VBR

Windows 부팅을 위한 기계어 코드와 NTFS 여러 설정 값들이 있다.

이 영역을 분석하면 볼륨의 크기, 클러스터의 크기, MFT 시작 주소의 정보를 얻을 수 있다.

운영체제가 NTFS를 인식하기 위한 시작점 (망가지면 인식 불가)

 

MFT

볼륨에 존재하는 모든 파일, 디렉토리에 대한 정보를 가진 테이블

NTFS에서 가장 중요한 구조체

파일/디렉토리가 늘어날수록 MFT의 크기도 커진다.(하지만 한번 들어난 MFT는 파일이 줄어든다고 해서 줄어들진 않음)

 

Data Area

파일과 디렉터리를 담는 영역

클러스터 단위로 읽기/쓰기가 이뤄진다.

 

 

특징

 

데이터 복구 기능

데이터의 신뢰성을 높이기 위해 볼륨에 수행하는 모든 작업에 대해 데이터베이스의 상태를 변화시키기 해서 수행하는 작업(Transaction)의 단위로 기록한다. 

그래서 작업 도중 어떤 문제가 발생했을 때 기록을 조사해 볼륨을 정상적으로 복구/오류 수정이 가능하다.
저널링 파일 시스템이라고도 함.

 

암호화

EFS(Encrypting File System)이라 불림

NTFS  5.0 이상 버전부터 지원

인증 받지 않은 다른 사용자들이나 프로그램으로부터 데이터를 보호

NTFS 구조 자체는 암호화하지 않아 암호화 된 내용은 읽을 수는 있다.

파일 시스템 수준의 암호화 기능이기 때문에 응용프로그램에서 해당 파일이 암호화 되어 있는진 알 수 없다.

사실 이건 NTFS만의 특징은 아니고 Windows의 한 기능으로 제공되기 때문에 NTFS와 밀접한 관련이 있다고 할 수 있다.

 

압축

파일시스템 수준의 압축 기능 제공

(파일시스템 수준의 압축이 뭐지)

압축을 하면 공간 절약이 가능하지만 읽기/쓰기 할 때마다 압축을 풀어야하기 때문에 성능이 저하된다는 단점도 있다.

 

디스크 쿼터 

NTFS  5.0 이상 버전부터 지원

사용자마다 디스크의 사용량을 제한하는 것

왜냐면 Windows NT는 다수의 사용자가 한 컴퓨터를 쓰는 것을 기본으로 설계했기 때문에 볼류믜 용량을 다 써버리면 다른 사람들은 더 이상 저장할 수 없게 되기 때문에 디스크 사용량에 제한을 둔 것

그치만 Windows에 의존적이기 때문에 해당 볼륨을 구현한 제품에 연결할 경우 제한을 받진 않는다.