메타데이터 분석 ($MFT, $LogFile $UsnJrnl)

메타데이더 분석의 경우

• 파일 시간 조작 확인
• 특정 시간에 생성 및 삭제된 파일 정보
• 파일 이름 및 사이즈 정보
• $DATA영역에 존재하는 데이터

 

[$MFT]

• NTFS 파일 시스템에서 파일,디렉터리를 관리하기 위한 구조
• 하나의 파일당 하나의 MFT 엔트리를 가짐
• $MFT란 MFT엔트리들의 집합

MFT 엔트리

• 파일의 이름, 생성 / 수정 / 변경시간, 크기, 속성 등을 가지고 있음
• 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음

 

[$LogFile]

저널링(Jounaling)

데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원한다.

[$UsnJrnl]

파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일로 파일 복원의 목적이 아니라, 단순 파일 작업이 있었다는 사실을 확인하기 위해 사용된다. 시간 순서대로 엔트리를 저장하고, 기본 크기는 32MB로 하루 8시간 사용시 4~5일 정도의 데이터를 저장하고 있다.

$MFT $LogFile과 $UsnJrnl을 보기 위해 NTFS Log Tracker를 다운로드한다.

 

https://sites.google.com/site/forensicnote/ntfs-log-tracker

blueangel's ForensicNote - NTFS Log Tracker

 

FTK Imager에서 추출한 LogFile, UsnJrnl, MFT 파일을 각각 업로드한 다음에 CSV로 Export 할수 있다.