1. $MFT

1) MFT(Master File Table)

• NTFS 파일 시스템의 파일/디렉토리 관리 구조
• 하나의 파일 당 하나의 MFT 엔트리
• $MFT는 MFT 엔트리의 집합

2) MFT 엔트리

• 파일 이름, 생성·수정·변경 시간, 크기, 속성 등
• 파일의 디스크 내부 위치 & 시스템 경로

3) MFTExplorer

FTK Imager로 $MFT 추출

• 경로: root$MFT

MFTExplorer로 추출한 $MFT 분석

2. $LogFile, $UsnJrnl

1) 저널링(Jounaling)

데이터 변경을 디스크에 반영하기 전, 행위를 기록하여 오류 복구에 활용

언제, 어느 데이터를 어디에 쓰는지 기록

2) 트랜잭션(Transaction)

업무 처리 최소 단위

파일/디렉토리 생성, 수정 삭제 등의 이벤트

3) $LogFile

메타데이터의 트랜잭션 저널 정보 → 파일의 속성 정보 변경 기록

4) $UsnJrnl

파일/디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일

파일 복원 목적 X

파일 작업이 있었다는 사실 확인

시간 순으로 엔트리 저장

32MB만 저장. 이후 덮어쓰기

5) NTFS Log Tracker

• $LogFile 경로: root$LogFile
• $UsnJrnl 경로: root$Extend$UsnJrnl$J

DB Browser를 사용하여 분석

3. 바로가기(LNK)

1) 바로가기

• windows shortcut
• .lnk 확장자 ⇒ 원본 파일 경로
• 생성
  • 사용자 직접 생성
  • 프로그램 설치 시 생성
  • 운영체제가 자동 생성
• 일반적인 경로
  • 바탕화면 %UserProfile%\Desktop
  • 시작 메뉴 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu
  • 최근 실행 %UserProfile%\Appdata\Roaming\Microsoft\Windows\Recent
  • 빠른 실행 %UserProfile%\Microsoft\Internet Explorer\Quick Launch (\User Pinned\TaskBar)

2) LECmd

FTK Imager로 추출

LECmd.exe -f [파일이름]

원본 파일의 생성·수정·변경 시간, 파일 크기 등