MBR - NTFS(Resident Header)

Resident Header와 Attribute Content에 대해서 알아봐야겠다.

 

Resident Header

 

Resident Header는 앞서 포스팅한 Common Attribute Header 이후에 바로 이어지는 값으로

이 또한 16바이트의 크기를 가진다.

 

지난번에 0x11aa047까지가 공통 속성 헤더였으므로,

0x11aa048부터 Resident 헤더라고 보면될듯하다.

지난번 포스팅때를 보면 $MFT는 Resident 속성 컨텐츠를 가진다.

표시해보면....

이게 전체 Resident 헤더 일 것이다.

이전에 나온 $MFT에서 공통 속성 이후의 데이터가 Resident Header임을 알고,

데이터의 크기까지 알았으니

각 데이터들이 어떤 것을 의미하는지 알아보자.

0x48 00 00 00

Size of Content으로 속성 컨텐츠의 크기를 나타낸다.

Resident Header 이후에는 바로 Content으로 속성 내용이 나오는데

이 크기가 0x48의 크기를 가진다는 것이다. (72바이트)

0x18 00

Offset of Content으로 속성 컨텐츠의 위치를 나타낸다.

다른 포스팅을 보면 0x18 00으로 값이 매겨져있다.

(이유를 알아보니까 앞에서 속성에 대한 이름이 정해져 있지 않아서 공통 속성 헤더 앞에서 0x18인 위치에서부터 속성 컨텐츠가 시작되는 것이였다.)

그러면 속성 컨텐츠의 시작 위치는 0x11aa050부터라는 것이다.

이는 아래에 나올 Attribute Name의 값의 시작점임을 알 수 있다.

 

0x00 

Indexed Flag인데 0이면 Index 정보로 사용하지 않음

1이면 Index 정보로 사용한다.

0x00

사용하지 않는 바이트이다.

0x98 9B 6E CD 6F 4B DA 01

Attribute Name으로 속성 이름이다.

속성 이름이 없는 경우 속성 이름 값이 없고 바로 Arribute Content가 들어온다고한다.

이전 포스팅 사진을 다시 들고오면?

속성의 이름 길이가 0

속성의 이름이 없다.

그러니까 오프셋 0x11aa050부터는 속성 이름이 아닌 속성 컨텐츠 값이 시작하는 것이다.

위 사진은 Fixup Array 이후에 공통 헤더 값과 Resident Header 그리고 그 이후의 Attribute Content의 구조를 나타낸 것이다.

총 정리해보면 이전에 포스팅한

0x30의 크기는 MFT Entry Header이고,

0x08의 크기는 Fixup Array이고,

이후부터는 Common Header (16바이트)

Resident Header (8바이트) 속성 이름이 없으므로 16바이트가 아닌 8바이트이다.

이후의 데이터들은 Attribute Content가 된다,

 

pg. 111~113

추후는 $STANDARD_INFORMATION

 

[파일 시스템]NTFS - 3편(Attributes, $속성들) (tistory.com)

[파일 시스템]NTFS - 3편(Attributes, $속성들)