Forensic (2) 썸네일형 리스트형 삭제된 파일 판별하기 위의 사진 처럼 알고자 하는 파일의 MFT Entry로 가서 MFT Entry Header의 Flag 값을 확인한다. 플래그의 값에 따라서 파일의 상태를 알 수 있다. Flag 값 상태 0x00 해당 MFT Entry는 비 할당 0x01 해당 MFT Entry는 사용 중 0x02 해당 MFT Entry는 비 할당이면서 Directory 형태 0x03 해당 MFT Entry는 사용 중이면서 Directory 형태 이와 같은 경우는 Flag 값이 0x01로 해당 MFT Entry는 사용 중 이라는 뜻이다. 이 경우에는 Flag 값이 0x00으로 해당 MFT Entry는 비 할당, 즉 삭제된 파일이라는 뜻이다. 파일 시그니처(Header, Footer 모두 있는 경우) File Type Header Signature(Hex) Footer Signature(Hex) JPEG FF D8 FF E0 FF D8 FF E8 FF D9 GIF 47 49 46 38 37 61 47 49 46 38 39 61 00 3B PNG 89 50 4E 47 0D 0A 1A 0A 49 45 4E 44 AE 42 60 82 PDF 25 50 44 46 2D 31 2E 25 25 45 4F 46 ZIP 50 4B 03 04 50 4B 05 06 ALZ 41 4C 5A 01 43 4C 5A 02 RAR 52 61 72 21 1A 07 3D 7B 00 40 07 00 이전 1 다음
