MFT 개념 및 실습
MFT
- NTFS 파일시스템(윈도우즈의 파일관리시스템)에서 파일, 디렉터리를 관리하기 위한 구조
- 하나의 파일당 하나의 MFT 엔트리를 가짐
- %MFT란 MFT엔트리들의 집합
MFT엔트리
- 파일의 이름, 생성수정변경시간, 크기, 속성 등
- 파일의 디스크 내부 위치, 파일의 시스템 경로
$MFT Practice Tools
- FTK Imager
- MFTExplorer
$MFT Practice
%LogFile, %UsnJrnl 개념 및 실습
저널링
- 데이터 변경을 디스크에 반영하기 전, 행위를 기록
트랜잭션
- 쪼갤 수 없는 업무 처리의 최소 단위
- 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등
$LogFile
- 메타데이터의 트랜잭션 저널 정보
$UsnJrnl
- 파일이나 디렉토리에 변경 사항이 생길 때 기록하는 로그 파일
- 파일 복원의 목적이 아닌, 단순 파일 작업이 있었다는 사실 확인을 위함
- 시간 순서대로 엔트리 저장, 기본 32MB
$Logfile & $UsnJrnl Practice Tools
- FTK Imager
- NTFS Log Tracker ( https://sites.google.com/site/forensicnote/ntfs-log-tracker?pli=1 )
- DB Browser for SQLite
$Logfile & $UsnJrnl Practice
1. FTK Imager를 통해 $Logfile을 추출하였다.
2. FTK Imager를 통해 $J 파일을 추출하였다.
3. NTFS Log Tracker를 통해 DB 파일 생성하였다.
4. $Logfile에서는 파일 삭제, 생성, 수정, 다운로드 등의 이벤트를 가진 파일들 확인 가능하다.
5. $UsnJrnl에서는 타임스탬프, 어떤 파일에 대해서 어떤 이벤트가 있었는가, 데이터 추가, 파일 이름 변경, 접근 권한 변경, 파일 경로 확인 가능하다.
* 무엇을 먼저 검색해야할지 미리 파악한 후 DB를 사용하는 것이 일반적이다.
바로가기(.LNK) 개념 및 실습
바로가기
- Windows Shortcut
- .lnk 확장자
- 생성 방법
- 사용자가 직접 생성
- 프로그램 설치 시 생성
- 운영체제 자동 생성
바로가기 저장 파일 위치
- 바탕화면: %UserProfile%\Desktop
- 시작메뉴: %ProgramData%\Microsoft\Windows\Start Menu, %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu
- 최근실행: %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
바로가기 실습 도구
- FTK Imager
- LECmd (https://ericzimmerman.github.io/#!index.md)
바로가기 실습
1. LECmd Tool을 다운로드 받은 뒤, Powershell에서 실행되는지 확인한다.
2. 해당 파일 경로에 예시로 카카오톡 바로가기를 추가하였다.
3. 카카오톡 바로가기를 확인할 수 있다. Source 키워드를 통해 바로가기의 생성, 수정시간을 알 수 있다. Target 키워드를 통해 파일의 생성, 수정시간을 알 수 있다.
4. FTK Imager를 통해 Recent 파일을 추출한다.
5. .\LECmd.exe -d .\Recent\ --html "C:\~\save" 입력 결과 아래와 같이 실행된다.
6. 생성된 html 파일을 통해 바로가기 또는 파일이 언제 생성, 수정 되었는지와 volume은 무엇인지 확인할 수 있다.
volume을 통해 파일이 있었음을 확인할 수 있고, 타임스탬프를 통해 생성 날짜 또한 알 수 있다.
'SWUFORCE > 디지털포렌식 기초' 카테고리의 다른 글
| 디지털 포렌식 기초 7주차 (0) | 2023.01.17 |
|---|---|
| 디지털 포렌식 기초 4주차 (0) | 2022.11.28 |
| 디지털 포렌식 기초 3주차 (0) | 2022.11.23 |
| 디지털 포렌식 기초 2주차 (0) | 2022.11.07 |
| 디지털포렌식 기초 1주차 (0) | 2022.11.01 |
