Master File Table(MFT)
定義如何分配磁盤空間和利用
• 如何創建和刪除文件
• 如何存儲和更新metadata
每個 NTFS volume 都有自己的 MFT
• 有$MFT的文件存儲在volume root中
• 需要訪問權限才能讀取 $MFT
• 無法通過 Windows Explorer訪問
刪除文件會導致其 MFT 記錄被標記為inactive
MACE timestamps
Modified, Accessed, Created, Entry Modified
STANDARD_INFORMATION (also known as $SIA or $SI)
FileName (also known as FNA, FILE_NAME,or $FN)
$FN難以修改,因此與$SI不同時可能就是有修改
https://samsclass.info/152/152_F22.shtml
https://knowitlikepro.com/understanding-ntfs-architecture-mft-and-basics-of-ntfs-forensics/
iThome鐵人賽
看影片追技術