[Windows FileSystem] - $LogFile, $MFT, $J 분석(2)

windows 설치 드라이브 -> [root] -> [$MFT] -> Export Files

똑같은 방식으로 $LogFile과 { [root] -> [$Extand] -> [$UsnJrnl] -> [$J] } 을 export 해주고 분석하면 된다. 

• $MFT : 모든 파일의 MFT 엔트리 정보 
• $LogFile : 파일 시스템 메타데이터 변경사항에 대한 트렌젝션 로그
• $J : 저널 데이터를 담고 있는 $DATA 속성의 일부 

 

<= 분석

 

NTFS 유형 확인

• 포렌식 의미 
  - 삭제된 파일에 대한 추적 가능
  - Resident 유형의 파일은 데이터 확인 가능
  - Non-Resident 유형의 파일은 데이터 작성된 클러스터 위치 확인 가능 
    - 임의의 파일 및 디렉터리에 대한 행위(생성/삭제/수정/MFT 레코드 수정 등) 추적 가능 
  
  
• 공격(Threat Intelligence)
  - 공격자 ⇒ 악성코드 제작(리소스가 많이 들어는 작업임)
  
  - 악성코드 복구 후 분석 ⇒ 기존의 방식에서 어떤것을 활용하여 공격했는지 
     - $MFT, 악성코드가 지워지면 물리적인 데이터에 흔적이 남아 있음 
  
  
• $LogFile(Redo, Undo Record)
  - This LSN은 $MFT에 저장되어 있다. 
  - NTFS 트랜젝션 로그 파일 
    ㄴ 특정한 작업을 위해 한번에 수행되는 일련의 연산들
    ㄴ 작업 실패시, Rollback을 위한 원자 연산
  - 모든 트랜젝션 작업 레코드 단위로 기록
    ㄴ 새로운 파일/ 디렉터리 생성
    ㄴ 파일/ 디렉터리 삭제
    ㄴ 파일/ 디렉터리 수정
    ㄴ MFT 엔트리 수정 
  
  
• LSN은 무조건 Commit Record!

 

보안 전문가가 사용하는 침투 테스트 도구 11선

 

 

Thx with hr.choi