3. NTFS 로그 분석 연습
Last updated
Last updated
기본 개념 / 반복 연습용
먼저 개인 가상 디스크에 NTFS로 포맷 후 여러가지 활동을 한 이후에 NTFS Log Tracker를 이용하여 내역을 분석해보는 연습을 해보도록 하겠습니다. Win+X 후 디스크 관리를 연 뒤 동작 - VHD 만들기를 선택 합니다. 이 후 200MB 가상디스크를 만들어 보도록 하겠습니다.
추가된 가상 디스크를 선택 후 우클릭 - 디스크 초기화를 합니다. (MBR, GPT 아무거나 선택)
이후 할당되지 않은 영역을 선택 후 우클릭 - 새 단순 볼륨을 선택 한 뒤 NTFS로 포맷 합니다.
이제 이력을 남겨보도록 하겠습니다. 아래 파일을 다운로드 후 진행 해보도록 하겠습니다.
압축 해제 한 파일을 선택 후 새로 생성한 NTFS 가상 디스크에 복사하도록 하겠습니다.
파일명을 몇 가지 변경하도록 하겠습니다.
1번 파일명 변경을 1번 폴더, 2번 파일명 변경은 2번 폴더로 드래그 하여 이동해보도록 하겠습니다.
아래 연습을 동일하게 하고자 하는 경우 아래 압축파일(NTFS Log 연습.zip)을 다운로드 후 압축 해제하면 vhd를 연결하여 동일하게 분석할 수 있습니다.
먼저 FTK Imager에서 Physical Drive 선택 후 생성한 가상 디스크를 선택 합니다.
NTFS의 [root] 폴더를 선택 후 $MFT, $LogFile을 추출합니다.
그리고 $Extend 폴더의 $UsnJrnl을 더블클릭 한 뒤 $J 파일을 우클릭 한 뒤 추출 합니다. 해당 파일들을 같은 폴더에 저장합니다.
추출한 파일이 보이지 않는 경우 탐색기에서 [보기] - 옵션 선택 후 [보기] 탭에서 보호된 운영체제 파일 숨기기를 체크 해제, 숨긴 항목 체크 해제 합니다.
다운로드한 NTFS Log Tracker를 이용하여 추출한 파일들을 불러옵니다. 해당 파일들을 선택 후 Parse를 선택한 뒤 저장할 경로를 지정한 뒤 [Start]를 선택합니다.
$LogFile 탭 하단을 살펴보면 파일 생성, 파일명 변경, 파일 이동 등의 이력을 확인할 수 있습니다.
$UsnJrnl$J 탭을 살펴보면 LogFile 보다는 보기 어려울 수 있으나, Event 부분을 참고하여 보면 내역을 확인할 수 있습니다.
1번 파일.pdf의 FileReferenceNumber를 한번 Search 를 통해 검색해보도록 하겠습니다. Search 클릭 후 하단의 FileReferenceNumber 부분에서 해당 파일의 끝의 값을 검색해보겠습니다. (특정 파일을 추적하기 위해서는 FileReferenceNumber 부분을 검색 해볼 수 있습니다.)
해당 파일 관련한 이력을 통해 변경한 파일 명, 이동한 파일 경로등을 확인할 수 있습니다.
파일명 변경 관련 이력을 살펴보겠습니다. Search 에서 $LogFile, $UsnJrnl 의 Event에서 "rena" (renaming, renamed)을 검색해보겠습니다.
검색 결과의 경우 (Search Result) 탭에서 확인할 수 있습니다.
Search 선택 후 File/Directory Name 부분에 파일명을 입력하여 Go를 선택하여 검색할 수 있습니다.
다만 실제 시험에서는 $LogFile의 내용이 매우 많기 때문에 Search를 적절히 활용해야 합니다.
$LogFile 의 내용이 오래된 경우 덮어쓰기 때문에 모든 내역이 남지 않습니다.
$UsnJrnl 또한 옵션이 켜져 있어야 내역이 저장 합니다. 다만, 윈도우 운영체제가 설치된 파일시스템의 경우 기본적으로 USN Journal(UsnJrnl) 활성화 되기 때문에 내역이 남게 됩니다.
시험에서는 최근 파일 중 주요 증거 파일이 발견 될 여지가 있기 때문에 실기 연습이 충분히 연습이 된 경우 NTFS Log 분석 연습을 해보시는 것도 시험 대비에 도움이 될 것 입니다.
연습문제를 푼 뒤 NTFS Log Tracker를 꼭 한번씩 연습해보시길 추천합니다.
공식 사이트 : 공식 다운로드 :
