디지털포렌식과 친해지기
  • 디지털포렌식전문가 2급 실기와 친해지기(실기)
    • 1. 디지털 포렌식 실기 준비하기
      • 1. BIT, BYTE, 파일 그리고 Hash
      • 2. 섹터와 사본 이미지 생성
        • 2-1. FTK Imager 활용 물리이미징(Registry 쓰기방지)
        • 2-2. EnCase 활용 물리이미징(EnCase 쓰기방지)
        • (연습용) 가상디스크 만들기
      • 3. 파티션과 파일시스템 복구
        • 3-1) 파티션과 파티션 테이블
          • 3-1.1) GPT 헤더, 파티션 Entry 복구
        • 3-2) 파일시스템과 파일시스템 복구
        • 3-3) 파일시스템 복구 실전 연습
      • 4-1. 무료도구 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • 무료도구 활용 분석연습 정리
      • 4-2. EnCase 활용 분석연습
        • 0) 이미지 획득 및 파일시스템 복구
        • 1) 저장매체와 파일시스템 분석
        • 2) 파일과 친해지기
        • 3-1) 파일 관련 분석 1
        • 3-2) 파일 관련 분석 2
        • 4-1) 윈도우 아티팩트1
        • 4-2) 윈도우 아티팩트2
        • 5) 주요 응용 프로그램 아티팩트
          • 5-1) Sqlite 열어보기
        • 6) 키워드 검색 / Base64 Decode
        • 7) bitlocker
        • 8) 가상머신(참고)
        • EnCase를 활용한 분석연습 정리
      • 5. 주관식 - 기본 절차 및 증거법 관련
        • (정리 중) 디지털 증거관련 주요 판례
      • 6. 답안 제출 및 보고서 작성
      • 7. 요령 및 주의사항
    • 2. 실력 다지기
      • 1. 문제 저장매체 만들고 풀어보기
        • 기초 연습문제1-분석해보기(무료도구)
        • 기초 연습문제1-분석해보기(EnCase)
      • 2. 파일시스템 복구 연습
      • 3. NTFS 로그 분석 연습
    • 3. 실전 연습 문제
      • 2018 실전 연습 문제
        • 2018 실전 연습 - 분석해보기(무료도구)
        • 2018 실전 연습 - 분석해보기(EnCase)
      • 2019 실전 연습 문제
        • 2019 실전 연습 - 분석해보기(무료도구)
        • 2019 실전 연습 - 분석해보기(EnCase)
      • 2020 실전 연습 문제
        • 2020 실전 연습 - 분석해보기(무료도구)
        • 2020 실전 연습 - 분석해보기(EnCase)
      • 2023 실전 연습 문제(종합유형)
        • 2023 실전 연습 - 분석해보기(무료도구)
        • 2023 실전 연습 - 분석해보기(EnCase)
      • 2024 실전 연습 문제
        • 2024 실전 연습 - 분석해보기(무료도구)
        • 2024 실전 연습 - 분석해보기(EnCase)
    • 4. 기출 유형
  • 디지털포렌식과 친해지기
    • 1. BIT의 저장
      • 0) 준비사항!
        • 0-1) 주요 분석 도구 간단 소개 및 설정
        • 0-2) Python 을 이용한 개발 환경 구성
        • 0-3) Python 소스로 실행파일 만들기
      • 1) BIT, BYTES와 파일 그리고 Hash
        • 1-1) Hex Viewer 만들기
        • 1-2) BIT의 저장(참고)
      • 2) 저장매체와 섹터 그리고 물리이미징
        • 2-1) 가상 디스크 설정
        • 2-2) 물리이미징(raw) 실습
        • 2-3) 물리이미징 수집 도구 만들기(기초)
      • 3) 파티션
        • 3-1) MBR 파티션 테이블 구조
        • 3-2) GPT(GUID Partition Table) 구조
        • 3-3) 파티션 분석 도구 만들기(기초)
      • 4) 파일시스템 기초 분석
        • 4-1) 파일시스템 직접 만들어 보기
        • 4-2) FAT32 분석
          • 4-2.1) FAT32 분석(BR, Directory Entry - 데이터의 접근)
          • 4-2.2) FAT32 분석 2(FAT, LFN, 삭제)
          • 4-2.3) FAT32 분석 3 (특징과 분석 도구)
        • 4-3) NTFS 기초 분석
          • 4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)
          • 4-3.2) $MFT와 MFT Entry
          • 4-3.3) MFT Entry의 주요 속성1($SI,$FILE,$DATA)
          • 4-3.4) MFT Entry의 주요 속성2(인덱스1, resident/Nonresident)
          • 4-3.5) MFT Entry 찾기(인덱스2, $ATTRIBUTE_LIST)
          • 4-3.6) NTFS 에서 파일의 접근 정리
          • 4-3.7) NTFS 주요 메타데이터 파일
          • MFT Entry 분석용
      • 5) 파티션과 파일시스템
      • 6) 사본 이미지 생성(논리/물리이미징)
      • 7) 파일과 친해지기
Powered by GitBook
On this page
  • 1. NTFS 파일시스템
  • 2-1) NTFS 분석 준비
  1. 디지털포렌식과 친해지기
  2. 1. BIT의 저장
  3. 4) 파일시스템 기초 분석

4-3) NTFS 기초 분석

Previous4-2.3) FAT32 분석 3 (특징과 분석 도구)Next4-3.1) NTFS 기초 분석(NTFS BR과 DATA 영역)

Last updated 11 months ago

  • NTFS 공부에 앞서 가능하면 FAT32에 대해서 분석 연습을을 하고 접근하시는 것을 추천드립니다. > 4-2) FAT32 분석

1. NTFS 파일시스템

  • NTFS(New Technology File System)는 마이크로소프트가 윈도우 NT 계열 운영 체제에서 사용하기 위해 개발한 파일 시스템입니다. 1993년 윈도우 NT 3.1에서 처음 도입된 이후, 현재까지 윈도우 운영 체제에서 널리 사용되고 있습니다. NTFS는 FAT(File Allocation Table) 파일 시스템의 단점을 보완하고 다양한 고급 기능을 제공합니다.

NTFS에 대해서 설명 해줘! (Chat GPT 답변)

주요 특징 및 기능

  1. 파일 압축: NTFS는 파일 단위로 데이터 압축을 지원하여 디스크 공간을 효율적으로 사용할 수 있습니다.

  2. 파일 암호화: EFS(Encrypting File System) 기능을 통해 개별 파일을 암호화하여 데이터 보안을 강화할 수 있습니다.

  3. 액세스 제어 목록(ACL): 사용자가 파일이나 디렉터리에 대한 접근 권한을 세부적으로 설정할 수 있도록 합니다.

  4. 대용량 파일 및 파티션 지원: NTFS는 최대 16EB(엑사바이트) 크기의 파일과 최대 256TB(테라바이트) 크기의 볼륨을 지원합니다.

  5. 저널링 파일 시스템: 파일 시스템의 메타데이터 변화를 기록하여 시스템 오류 발생 시 데이터 복구를 용이하게 합니다.

  6. 하드 링크 및 심볼릭 링크: 하나의 파일을 여러 위치에서 참조할 수 있도록 하여 파일 시스템의 유연성을 높입니다.

  7. 쿼터 관리: 사용자가 사용할 수 있는 디스크 공간을 제한할 수 있습니다.

  8. 변경 로그: 파일 시스템의 변경 사항을 기록하여 데이터 무결성을 유지하고 손실을 최소화합니다.

구조 및 구성 요소

  • 파일 테이블(MFT, Master File Table): 파일 시스템의 핵심 데이터 구조로, 모든 파일과 디렉터리에 대한 정보를 저장합니다. 각 파일과 디렉터리는 MFT 내에서 하나 이상의 레코드를 갖습니다.

  • 섹터와 클러스터: NTFS는 디스크를 작은 섹터로 나누고, 여러 섹터를 묶어 클러스터로 관리합니다. 클러스터 크기는 성능과 공간 효율성을 균형 있게 조절합니다.

  • 부트 섹터: 볼륨의 시작 부분에 위치하며, 파일 시스템의 기본 정보와 시스템 부트에 필요한 데이터를 포함합니다.

NTFS의 장점

  • 안정성 및 데이터 복구 능력: 저널링 기능을 통해 시스템 오류나 정전 시에도 데이터 손상을 최소화할 수 있습니다.

  • 보안: ACL과 EFS를 통해 파일 수준에서 정교한 권한 설정과 암호화를 제공하여 데이터 보안을 강화합니다.

  • 성능: 대용량 파일과 디스크 볼륨을 효과적으로 관리할 수 있는 능력 덕분에 고성능을 유지할 수 있습니다.

NTFS의 단점

  • 호환성: NTFS는 주로 윈도우 운영 체제에서만 완벽히 지원되며, 다른 운영 체제에서는 제한적으로만 지원됩니다.

  • 복잡성: 다양한 고급 기능을 제공하는 만큼 파일 시스템의 구조와 관리가 복잡할 수 있습니다.

NTFS는 윈도우 환경에서 강력하고 안정적인 파일 시스템으로, 고급 보안 기능과 뛰어난 성능을 제공하여 다양한 사용자와 기업의 요구를 충족시킵니다.

NTFS의 처음부터 끝까지 다하는 것 보다는 처음에 파일시스템 공부하는 관점에서 최소한 이 정도는 알아야 할 부분만 먼저 알아보고 마무리 하겠습니다. 추후에 NTFS의 주요 기능을 하나씩 상세분석해서 전체적으로 보는 방식으로 접근할 것입니다. 가능하면 처음부터 순서대로 실습환경을 동일하게 구성하고 진행하시는걸 추천드립니다.

2-1) NTFS 분석 준비

우리가 분석 연습을 해볼 파일시스템을 만들어 봅시다. 앞으로 나올 데이터의 일부가 다를 수는 있으나 본인이 분석해서 나온 결과에 동일한 공식을 대입하여 섹터, 클러스터, 오프셋 등으로이동하여 분석연습을하면 됩니다.

  • NTFS 분석 연습용 가상디스크 다운로드

  1. 먼저 디스크관리에서 200M 가상 디스크를 만들어 봅시다.

  2. 디스크초기화 - MBR 구조로 초기화 하여 봅시다. (GPT도 상관은 없습니다.)

  3. 새 단순 볼륨 - 단순 볼륨 크기는 100MB 정도로 설정 해봅시다.

  4. 드라이브 문자를 할당 하고 포맷에서 [NTFS] , 볼륨 레이블을 NTFS로 지정해봅시다.

  5. NTFS로 새로 생성한 파일시스템이 위치한 드라이브에서 텍스트 파일을 하나 만들어 보도록 하자. 이번에는 UTF-8로 인코딩 하여 저장하도록 하자.

  6. 만약 만들어진 가상디스크를 다운받아 사용할 경우

381KB
NTFS 가상디스크.zip
archive