728x90 반응형 MFT 분석3 메타데이터 분석 ($MFT, $LogFile $UsnJrnl) 메타데이더 분석의 경우 파일 시간 조작 확인 특정 시간에 생성 및 삭제된 파일 정보 파일 이름 및 사이즈 정보 $DATA영역에 존재하는 데이터 [$MFT] NTFS 파일 시스템에서 파일,디렉터리를 관리하기 위한 구조 하나의 파일당 하나의 MFT 엔트리를 가짐 $MFT란 MFT엔트리들의 집합 MFT 엔트리 파일의 이름, 생성 / 수정 / 변경시간, 크기, 속성 등을 가지고 있음 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음 [$LogFile] 저널링(Jounaling) 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문.. 2024. 1. 22. 윈도우 침해사고 MFT 및 이벤트로그 분석 MFT 분석 MFT는 Master File Table의 약자로 NTFS 파일 시스템에 존재하는 모든 폴더, 파일의 메타 데이터 정보를 저장한다. 파일로는 %ROOT%\$MFT 형태로 존재하지만, 탐색기 상에서는 확인할 수 없어서 아래 두가지 방법을 통해 추출한다. 1. forecopy를 통한 $MTF 추출 2. Disk Image를 통한 $MTF 추출 MFT 정보를 이용해 아래와 같은 점검 포인트를 가지고 점검한다. 침해사고 시각 악성코드 생성 시각 비정상 DB 생성 시각 의심스러운 시스템 계정 생성 및 로그인 시각 보안장비에서 탐지된 스캔 및 공격등의 이벤트 시각 analyzeMFT 도구를 이용하여 $MFT 파일을 분석할 수 있는데, -l 옵션을 통해 지역정보를 넣고, -o 옵션을 이용해 csv파일로 .. 2022. 10. 31. 윈도우 MFT 분석 analyzeMFT 도구 사용 Windows OS는 NTFS 파일 시스템을 사용한다. NTFS 파일 시스템은 MFT(Master File Table)에 파일의 메타 데이터를 저장한다. 파일 메타 데이터에는 파일의 생성, 수정, 접근 시각 등의 포렌식 관점으로 중요한 정보들이 들어있다. $MFT는 이런 MFT 엔트리들의 집합이다. 그렇다면 $MFT 파일이 어딨고 어떤 정보가 들어있는지 확인해보자. MFT는 시스템 드라이브(일반적으로 C 드라이브) 바로 아래에 존재한다. $가 붙은 파일들은 시스템 관련 파일로써 일반적인 방법으로는 볼 수도 없다. 해당 파일을 찾았으니 이제 내용을 볼까? microsoft-windows...어쩌구 저쩌구하는 문자열이 보이지만 나머지 값들이 무얼 뜻하는지 알아보기 힘들다. 하나하나 메타데이터 길이별로.. 2022. 10. 26. 이전 1 다음 728x90 반응형
