본문 바로가기
4-1. 2025-2 심화 스터디/디지털 포렌식 2팀

[25.11.28] 포포포_6주차_활동

ggamja_ 2025. 11. 28. 22:45

진행 범위 : [$MFT 개념 및 실습 ~ Prefetch 개념 및 실습]

 

NTFS 포렌식 아티팩트 정리

1. $MFT (Master File Table)

개요

  • NTFS 파일 시스템에서 파일과 디렉터리를 관리하는 핵심 구조체
  • 파일 1개당 1개의 MFT 엔트리를 가짐
  • $MFT는 이러한 엔트리들의 집합(데이터베이스)

MFT 엔트리 정보

  • 파일 이름
  • 생성·수정·변경 시간 정보
  • 파일 크기 및 속성
  • 파일의 실제 디스크 위치(클러스터 정보)
  • 파일의 시스템 경로

포렌식 활용

  • 파일 존재 여부 및 메타데이터 확인
  • 삭제된 파일 분석 시 핵심 증거

추출 및 분석 도구

  • 추출: FTK Imager → \[root]\$MFT
  • 분석: Eric Zimmerman → MFT Explorer

2. $LogFile

개요

  • NTFS 저널링(Journaling) 기능에 사용되는 파일
  • 변경사항을 디스크에 기록하기 전, 먼저 로그 형태로 저장

기능

  • 시스템 오류 발생 시 복구 지원
  • 어떤 데이터가 언제, 어디에 쓰였는지” 기록

트랜잭션 의미

  • 분할 불가능한 최소 단위 작업
  • 예: 파일 생성/삭제/이름 변경, MFT 수정 등
  • $LogFile은 이러한 메타데이터 트랜잭션 로그를 저장

추출 및 분석 도구

  • 추출: FTK Imager → \[root]\$LogFile
  • 도구: Log Tracker

3. $UsnJrnl (Update Sequence Number Journal)

개요

  • NTFS에서 파일·폴더 변경 사항을 기록하는 로그
  • 파일 복원 목적이 아닌, “활동 이력” 확인용

기록 내용

  • 생성, 이동, 이름 변경, 삭제 등의 이벤트
  • 시간 순서대로 저장
  • 기본 크기: 약 32MB
    • 일반 사용자 기준 약 4~5일 분량 저장

추출 및 분석 위치

  • \[root]\$Extend\$UsnJrnl\$J
  • Log Tracker로 분석 가능

4. 바로가기 파일 (.lnk)

개요

  • Windows Shortcut 파일
  • 사용자가 실행한 파일·폴더에 대한 흔적 저장

생성 방식

  • 사용자 직접 생성
  • 프로그램 설치 시 자동 생성
  • 운영체제 자동 기록

포렌식 정보

  • 대상 파일의 경로
  • 최초 및 최근 실행 시간
  • 수정 및 접근 시간

경로

  • %UserProfile%\Desktop
  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent

도구

  • FTK Imager 추출
  • Eric Zimmerman's LECmd 분석

5. Jump List

개요

  • 최근 접근한 파일/폴더 목록
  • 시작 메뉴 또는 작업표시줄에서 빠른 실행 제공

종류

유형설명
Automatic OS가 자동 생성
Custom 응용 프로그램이 직접 생성

포렌식 가치

  • 프로그램 실행 이력 및 사용 흔적 기반 활동 분석 가능

도구

  • FTK Imager 추출
  • JumpList Explorer 분석

6. Prefetch 파일

개요

  • 응용 프로그램 실행 속도를 높이기 위한 OS 기능
  • 프로그램 실행 시 최초 생성됨

포렌식 정보

  • 실행한 실행파일 이름
  • 실행 경로
  • 실행 횟수
  • 마지막 실행 시간
  • 최초 실행 시간

경로

  • %SystemRoot%\Prefetch

도구

  • WinPrefetchView

요약 표

 

아티팩트 역할 저장 정보 주요 분석
$MFT 파일 시스템 핵심 메타데이터 DB 파일 경로, 시간 정보, 속성, 디스크 위치 FTK Imager + MFT Explorer
$LogFile NTFS 저널링 로그 트랜잭션 기반 변경 기록 Log Tracker
$UsnJrnl 파일/폴더 변경 이벤트 기록 변경 이력 (시퀀스 기반) Log Tracker
LNK 파일 실행 파일 바로가기 파일 경로, 사용 흔적 LECmd
Jump List 최근 사용한 파일 목록 파일 실행 경로, 활동 이력 JumpList Explorer
Prefetch 실행 프로그램 기록 실행 횟수, 경로, 마지막 실행 시간 WinPrefetchView

 

'4-1. 2025-2 심화 스터디 > 디지털 포렌식 2팀' 카테고리의 다른 글

[25. 11. 21] 포포포_5주차_활동  (0) 2025.11.21
[25.11.14] 포포포_4주차_활동  (0) 2025.11.14
[2025.09.27] 포포포_3주차_활동  (0) 2025.10.03
[2025.09.20] 포포포_2주차_활동  (0) 2025.09.26

'4-1. 2025-2 심화 스터디/디지털 포렌식 2팀' Related Articles

티스토리툴바