Practice #1
$LogFile, $UsnJrnl:$J, $MFT를 수집하세요.
$MFT 파일의 내용을 해석하여 목록을 확인해봅니다.
$MFT 추출
운영체제가 설치된 Physical Drive의 Basic data partition → root 경로에 존재한다.
$LogFile 추출
$LogFile 또한 Basic data partition → root 경로에 존재한다.
$UsnJrnl → $J : 롤백을 위해 이벤트 발생 시 저장.
$J 파일은 Basic data partition → root -> $Extend -> UsrJrnl에 있다.
Practice #2
#1에서 수집한 3개의 파일을 NTFS Log Tracker 도구를 이용하여 분석해 보세요.
blueangel's ForensicNote - NTFS Log Tracker
NTFS Log Tracker v1.71
sites.google.com
NTFS Log Tracker v1.71
추출한 $MFT, $LogFile, $UsnJrnl→$J 파일의 Path를 넣고, Parse 버튼을 눌러 데이터를 파싱한다.
프로그램 하단에 파싱된 데이터를 볼 수 있다. 이를 오른쪽 CSV Export 버튼으로 csv 파일로도 추출할 수 있다.
파일이나 디렉토리에 JBUCTF 문자열이 들어간 Log를 확인했다.
이후, csv 파일 형태로 저장해서 열어보면 파일이 열리고 닫힘 등 여러 이벤트에 대한 시간 정보를 확인할 수 있다.
실제로 특정 파일에 대해서 아래 행위를 수행한 뒤, 해당 내용을 tracking 하세요.
해당 파일을 생성, 수정, 삭제하고 NTFS Tracker로 분석해봤다.
- 파일 생성
- 23.10.19 14:13:50 - 파일 생성. (빨간색)
- 파일 읽기/쓰기23.10.19 14:14:13 - 파일 데이터 추가. (초록색)
- 23.10.19 14:34:09 - 파일 데이터 추가. (파란색)
- 23.10.19 14:13:58 - 파일 데이터 추가. (주황색)
- 파일 삭제
- 23.10.19 14:54:02 - 파일 삭제. (보라색)