문제

HR 서버 - 속성 ID
2

\$UsnJrnl이라는 파일 이름을 가진 MFT 항목의 명명된 $J 데이터 속성의 MFT 속성 ID는 무엇입니까?

[형식은 정수입니다]

풀어봤어

\$J의 ID를 대답하는 문제.
\$J라고 하는 것은 지금 일이 잘 알고 있지 않습니다만, 특수한 파일로 $UsnJrnl라고 하는 파일 같은 분위기 속에 들어가 있는 파일입니다. . .

FTK Imager를 사용하여 이미지를 로드합니다.
\[root]\\$Extend\\$UsnJrnl을 살펴봅니다.



\$UsnJrnl라는 것이 보기 파일의 아이콘이 되고 있습니다만, 그 안에 들어갈 수 있어 거기에\$J가 있다고 하는 구조입니다.

fte를 사용하여 추출한 MFT의 데이터 중에는 $J는 들어 있지 않습니다.
그리고 FTK Imager에서도 속성 ID라는 것은 보이지 않습니다.

속성 ID를 보려면 Active@ Disk Editor라는 소프트웨어를 사용하면 볼 수 있습니다.

Active@ Disk Editor
htps //w w.ぢsk-에에와 r. rg / 어서 x. HTML

단, e01 파일을 직접 읽을 수 없기 때문에 일단 다른 소프트웨어로 마운트 할 필요가 있습니다.
FTK imager로 마운트하고 Disk Editor에서 내용을 보려고 했는데 왠지 실패해버렸습니다.
그래서 Arsenal Image Mounter로 다시 마운트합니다.

Arsenal Image Mounter
h tps : // / r 세나 l Recon. 코m/



이 상태에서 다시 Disk Editor에서 내용을 살펴 보겠습니다.



보였다.
보면 MFT 레코드에서\$UsnJrnl을 찾습니다.

검색 기능을 사용하여\$UsnJrnl을 찾습니다.
기세가 쌓여서 ANSI에 "\$UsnJrnl"을 입력해 버리면 히트하지 않으므로 주의해 주세요.



\$UsnJrnl 문자열 앞에 FILE0이라는 문자열이 있으면 MFT 레코드입니다.
노란색 부분을 보면\$J 문자도 있습니다.



노란색 부분에 초점을 맞추고 왼쪽 이름의 항목의 Attribute ID를 확인하면 대답이 밝혀졌습니다.