Windows Artifact[2] - MFT,Logfile








이번 포스팅에서는 $MFT와 $Logfile을 분석하는 방법에 대해서 알아보겠습니다.


----------------------------------------------------------------------------------------------------------------------------------------

1.$MFT, $Logfile 추출하기


$MFT와 $Logfile은 FTK Imager를 통해 최상위 디렉토리에서 추출 가능합니다.


아래 [그림 1]번과 같이 [root]에서 $MFT와 $Logfile을 확인 할 수 있습니다. 해당 파일을 클릭하고 마우스 우클릭을 통해 추출 가능합니다.


[그림 1] 최상위 디렉토리 확인



마우스 우클릭을 하면 [그림 2]와 같이 [Export Files]메뉴를 확인할 수 있습니다.

[그림 2]파일 추출 메뉴 확인



오류없이 추출이 되면 [그림 3]과 같은 확엔 메시지창을 확인 할 수 있습니다.

[그림 3] $MFT, $Logfile 추출 성공




[그림 4] 추출된 $MFT, $Logfile





2. $MFT 분석


[그림 5] $MFT 디코딩


$MFT파일은 이전 포스팅에서 다룬 $MFT영역의 구조로 인코딩되어있기 때문에 디코딩 작업이 필요합니다. 그렇기 때문에 [그림 5]와 같이 $MFT를 분석해주는 도구를 써야합니다. 본 포스팅에서 사용된 도구는 analyzeMFT도구이며, 구글 검색을 통해 쉽게 다운가능합니다. 사용법은 [그림 5]에서 보는 것처럼 옵션으로 분석할 파일을 -f옵션으로 지정해주고 -o옵션으로 디코딩된 파일을 저장합니다.



파일의 디코딩이 끝나면 아래 [그림 6]과 같이 파일에 대한 경로와 파일 활성화여부, 시간정보 등을 알 수 있습니다.


[그림 6]$MFT 내용 확인








3. $Logfile 분석


$Logfile에는 윈도우를 사용하면서 남는 트랙젝션 로그를 기록 합니다. 즉 파일 삭제와 생성과 같은 로그를 기록 하므로 디지털포렌식을 수행함에 있어 꼭 분석해야하는 내용입니다.



[그림 7]과 같이 NTFS Log Tracker를 통해 $Logfile을 분석 할 수 있습니다. 도구를 실행후 분석할 파일을 지정해주고 파싱 버튼을 누릅니다.

[그림 7] NTFS Log Tracker를 이용한 $Logfile분석 하기




분석이 끝나면 [그림 8]과 같이 하단에 결과가 나오며, 해당결과를 중간의 [CSV Export]메뉴를 통해서 파일로 저장할 수 있습니다.


[그림 8]$Logfile 파일 분석 완료





저장된 파일을 열람하면 아래 [그림 9]와 같이 트랜젝션로그를 확인 할 수 있습니다. 파일 삭제 및 생성과 관련된 경로와 시간정보를 볼 수 있습니다.


[그림 9] $Logfile 내용 확인



$Logfile이 가지는 정보는 $MFT가 가지는 정보보다 더 유용하다고 볼 수 있습니다. 그 이유는 파일생성과 관련된 정보와 삭제된 정보를 담고 있기 때문에 사용자가 또는 악성코드가 생성하는 파일에 대해서 추적이 가능하며, 임의로 삭제한 파일에 대해서도 확인 할 수 있습니다.







지금까지 $MFT와 $Logfile분석에 대해서 알아보았으며 다음 포스팅에서는 링크파일 분석에 대해서 알아 보겠습니다.






'Digital Forensic > Windows-Forensic' 카테고리의 다른 글

Windows Artifact[5] - Thumbnail/IconCache  (0) 2018.04.12
Windows Artifact[3] - LNK  (0) 2018.04.05
Windows Artifact[1] - $MFT(4)  (0) 2018.03.16
Windows Artifact[4] - Recycle  (0) 2018.03.13
Windows Artifact[1] - $MFT(3)  (0) 2018.03.12

이 글을 공유하기

댓글