Notice
Recent Posts
Recent Comments
Link
일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
Tags
- 시스템해킹
- 정보보안
- elk stack
- node.js
- Index
- 랜섬웨어
- 가이드라인
- Credential Access
- filesystem
- error 583066
- AD
- #whitespace #
- pwnable
- PetitPotam
- #C언어 #연산자
- software
- SQLMap
- Threat Intelligence
- windows
- 프론트엔드개발자
- 침해사고
- forensic
- sql인젝션
- exploit
- rce
- ATT&CK
- 백엔드개발자
- wargame
- Mitre
- elasticsearch
Archives
- Today
- Total
Plit00's Story
[Windows FileSystem] - $LogFile, $MFT, $J 분석(2) 본문
똑같은 방식으로 $LogFile과 { [root] -> [$Extand] -> [$UsnJrnl] -> [$J] } 을 export 해주고 분석하면 된다.
- $MFT : 모든 파일의 MFT 엔트리 정보
- $LogFile : 파일 시스템 메타데이터 변경사항에 대한 트렌젝션 로그
- $J : 저널 데이터를 담고 있는 $DATA 속성의 일부
<= 분석
- 포렌식 의미
- 삭제된 파일에 대한 추적 가능
- Resident 유형의 파일은 데이터 확인 가능
- Non-Resident 유형의 파일은 데이터 작성된 클러스터 위치 확인 가능
- 임의의 파일 및 디렉터리에 대한 행위(생성/삭제/수정/MFT 레코드 수정 등) 추적 가능 - 공격(Threat Intelligence)
- 공격자 ⇒ 악성코드 제작(리소스가 많이 들어는 작업임)
- 악성코드 복구 후 분석 ⇒ 기존의 방식에서 어떤것을 활용하여 공격했는지
- $MFT, 악성코드가 지워지면 물리적인 데이터에 흔적이 남아 있음 - $LogFile(Redo, Undo Record)
- This LSN은 $MFT에 저장되어 있다.
- NTFS 트랜젝션 로그 파일
ㄴ 특정한 작업을 위해 한번에 수행되는 일련의 연산들
ㄴ 작업 실패시, Rollback을 위한 원자 연산
- 모든 트랜젝션 작업 레코드 단위로 기록
ㄴ 새로운 파일/ 디렉터리 생성
ㄴ 파일/ 디렉터리 삭제
ㄴ 파일/ 디렉터리 수정
ㄴ MFT 엔트리 수정 - LSN은 무조건 Commit Record!
Thx with hr.choi
'Security > Forensic' 카테고리의 다른 글
[Windows FileSystem] - MBR 포맷 디스크 분석(4) (0) | 2023.02.11 |
---|---|
[Windows FileSystem] - $LogFile, $MFT, $J 분석(3) (0) | 2023.02.09 |
[Windows FileSystem] - (1) (0) | 2023.02.09 |
[Mac OS] - Architecture (1) | 2023.02.06 |
[Windows Artifact] - Shortcut(.*LNK) (0) | 2023.02.05 |
Comments