위의 사진 처럼 알고자 하는 파일의 MFT Entry로 가서 MFT Entry Header의 Flag 값을 확인한다.
플래그의 값에 따라서 파일의 상태를 알 수 있다.
|
Flag 값 |
상태 |
|
0x00 |
해당 MFT Entry는 비 할당 |
|
0x01 |
해당 MFT Entry는 사용 중 |
|
0x02 |
해당 MFT Entry는 비 할당이면서 Directory 형태 |
|
0x03 |
해당 MFT Entry는 사용 중이면서 Directory 형태 |
이와 같은 경우는 Flag 값이 0x01로 해당 MFT Entry는 사용 중 이라는 뜻이다.
이 경우에는 Flag 값이 0x00으로 해당 MFT Entry는 비 할당, 즉 삭제된 파일이라는 뜻이다.
'Forensic' 카테고리의 다른 글
| 파일 시그니처(Header, Footer 모두 있는 경우) (2) | 2017.06.21 |
|---|