Windows Forensic 31

[Digital Forensic] NTFS File System "$LogFile" Analysis

$LogFile$LogFile: NTFS의 로그 파일로, 로그에는 파일의 생성, 수정, 삭제와 같은 파일의 변경사항이 포함된다. MTF Entry의 세 번째(0x02)로 할당되는 파일이다. $LogFile의 특징으로는 트랜잭션을 로그로 기록함으로써, NTFS의 무결성을 유지하는 데에 초점을 둔 로그 파일이라는 점이다. 특히, $LogFile은 Undo와 Redo 정보를 기록하여 시스템 충돌 또는 전원 장애 같은 예기치 않은 상황에서도 파일 시스템의 안정성과 일관성을 보장한다. Undo 정보는 시스템이 중단된 상태에서 이전 안정 상태로 돌아갈 수 있게 돕는 반면, Redo 정보는 중단된 작업을 완료하여 파일 시스템의 최신 상태로 업데이트하는 데 사용된다. 이러한 $LogFile로 NTFS는 데이터의 무결성..

[Digital Forensic] NTFS File System "Attribute Content" Analysis

2. Attribute ContentAttribute Content: Attribute Entry의 Attribute Header를 제외한 영역으로, Attribute Entry의 종류와 내용을 포함한다. 마지막 Attribute Entry의 Attribute Content 이후에는 해당 MFT Entry에서의 마지막 Attribute Entry 임을 알리는 End Marker(0xFF FF FF FF)가 존재한다. 아래는 Attribute Entry의 종류로, 이는 Attribute Content의 종류가 결정하며 두 값은 일치한다.주의해야 할 부분으로는 NTFS는 속성 파일과 메타데이터 파일 이름 앞에 '$'표시를 한다. 그러나 속성 파일(ex: $FILE_NAME)의 경우 알파벳이 모두 대문자이고,..

[Digital Forensic] NTFS File System "MFT" Analysis

MFT NTFS는 파일 시스템을 구성하는 모든 요소들을 파일처럼 다룬다. 즉, 파일이 아닌 존재도 파일처럼 저장한다. MFT: MFT Entry의 집합으로, 파일 시스템에 저장된 파일의 수에 따라 MFT의 크기가 조절되며, 일반적으로 NTFS 볼륨의 12.5%가 MFT 영역으로 할당된다. 특징으로는, NTFS 파일 시스템을 처음 생성하면 16개의 엔트리(0번부터 15번까지)가 자동으로 생성되며, 이들은 메타 데이터 파일 혹은 시스템 파일이라고 부르며, 특별한 목적을 이유로 예약된 영역이다. 이러한 구조 덕분에 NTFS는 효율적으로 파일들을 관리하고, 필요한 정보에 빠르게 접근할 수 있다. Start Sector of MFT Area: Start Sector of VBR + (Start Cluster fo..

[Digital Forensic] NTFS File System "VBR" Analysis

VBR (Volume Boot Record)VBR은 Boot Sector와 NTLDR Information Boot Strap 두 가지 영역으로 나뉜다. 1. Boot SectorBoot Sector: 운영 체제가 컴퓨터를 부팅할 때 필요한 정보를 담고 있고, BIOS Parameter Block (BPB) (빨간색), Bootstrap Code (초록색), Signature (파란색)으로 나뉜다. 1. BIOS Parameter Block (BPB): 파일 시스템의 기본적인 정보를 담고 있으며, 드라이브의 구조, 파일 시스템의 크기, 섹터 크기 등을 정의하고, 시스템이 올바르게 액세스 할 수 있게 하는 중요한 메타데이터를 제공한다.OffsetSize (Byte)Information0x00 ~ 023Ju..

[Digital Forensic] NTFS File System Detailed Analysis

NTFSNTFS (New Technology File System): 마이크로소프트에 의해 개발된 파일 시스템으로, 주로 Windows 운영 체제에서 활용된다. 이 시스템은 기존의 FAT (File Allocation Table) 시스템을 대체하기 위해 설계되었으며, 더 큰 파일 크기와 보다 복잡한 데이터 구조를 지원하는 것이 특징이다. NTFS는 FAT와 달리 자동 복구 기능을 갖추고 있으며, 사용자 권한 설정과 파일 암호화를 통해 특정 파일에 대한 접근을 제한할 수 있다. 특징으로는 FAT에서 NTFS로의 변환을 지원하여 호환성도 제공하며, NTFS는 모든 파일, 디렉터리 데이터들을 파일형태로 저장한다.   NTFS StructureNTFS (New Technology File System)는 크게 ..