- $MFT
MFT(Master File Table)
• NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조
• 하나의 파일당 하나의 MFT 엔트리를 가짐
• $MFT란 MFT 엔트리들의 집합
+NTFS: Windows가 쓰는 파일 시스템
+$: 윈도우에서는 시스템 파일이라는 의미
MFT 엔트리
• 파일의 이름, 생성/수정/변경시간/크기/속성 등을 가지고 있음
• 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음.
- $MFT Practice
• FTK Imager를 이용
: [root]$MFT 추출
• MFTExplorer 이용
- $LogFile
저널링(Jounaling)
• 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용
-데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨
-문제가 발생하기 전에 “어떤 데이터를, 언제, 어디에 쓰는지” 기록
-문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원
트랜잭션(Transaction)
•"쪼갤 수 없는 업무 처리의 최소 단위”
• 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등
• $LogFile: 메타데이터의 트랜잭션 저널 정보
+파일이 가지고 있는 속성 데이터
ex)생성시간, 수정시간, 권한 등
- UsnJrnl
• 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일
• 파일 복원의 목적이 아니라, 단순 파일 작업이 있었다는 사실을 확인하기 위함
• 시간 순서대로 엔트리를 저장하고, 기본 크기는 32MB
• 하루 8시간 사용시 4~5일 정도의 데이터를 저장하고 있음(그 이후는 덮어쓰기)
*보통 수상한 파일 확인 후에 해당 파일만 확인하기
실습
- 바로가기(LNK)
• 'Windows Shortcut’
• .lnk 확장자
생성하는 방법
• 사용자가 직접 생성
• 프로그램 설치 시에 생성
• 운영체제가 자동으로 생성
경로
(1) 바탕 화면
• %UserProfile%\Desktop
(예약어)
(2) 시작 메뉴
• %ProgramData%\Microsoft\Windows\Start Menu
(예약어)
• %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu
(3) 최근 실행
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
(4) 빠른 실행
• %ProgramData%\Microsoft\Internet Explorer\Quick Launch
• %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
• %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User
Pinned\TaskBar
: User가 하단에 핀한 프로그램
FTK Imager 이용하여 추출
• %UserProfile%\Desktop
• %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
LECmd 이용하여 분석하기
