본문 바로가기
Information Security/Digital Forensic

[Digital Forensic] NTFS Log Tracker

Project_S 2024. 9. 27. 17:20
반응형

- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182

* NTFS LogTracker
- Windows의 주요 Hive 파일인 $LogFile, $MFT, $UsnJrnl:$J를 구문 분석, 이와 관련하여 파일의 생성, 수정, 삭제 등의 변경 시각을 추적할 수 있는 도구
(즉, 파일 시스템의 메타데이터를 다룸)
- 특히나 내부 시스템에 대한 조작이 있었다면 해당 파일은 필수적으로 확인 해야 한다

NTFS LogTracker

 

 

 

*  파일 시스템 메타데이터 저장 주요 Hive 파일

$LogFile * 경로 : %SystemRoot%\$LogFile
- NTFS 파일 시스템에서 파일의 변경 사항(생성, 수정, 삭제)을 기록하는 파일
- 핵심은 시스템 복구를 위한 트랜잭션 로그이며, 시스템 충돌 시에 파일 시스템 무결성 보장을 위한 '일시적인 기록'
(즉, PC를 계속 켜놓으면 $LogFile 데이터는 계속 덮어쓰여짐)
$UsnJrnl:$J * 경로 : %SystemRoot%\$Extend\$UsrnJrnl:$J
- $LogFile과 목적은 유사하나, 파일 및 디렉터리 변경 사항을 추적하는 장기적인 변경 기록
$MFT * 경로 : %SystemRoot%\$MFT
- NTFS 파일 시스템 내의 모든 파일과 디렉터리의 메타 데이터를 저장하는 핵심 파일
- 이름, 크기, 생성 시간, 수정 시간, 접근 권한 등 다수 메타데이터가 저장됨
SQLite DB File * 경로 : %UserProfile%\Appdata\Local\ConnectedDevicesPlatform\FOLDER(Account)\ActivitiesCache.db
- Application이 사용하는 DB 정보를 담음(브라우저 정보 등)
- SQLite DB 로그 트래킹은 NTFS Log Tracker보단, DB Browser for SQLite 툴을 통해 추적이 용이하므로 해당 게시글에선 설명 제외

 

 

 

* NTFS LogTracker 기반 파일 Metadata 변경 사항 추적
1) $LogFile 및 $MFT를 사용한 검색
- 해당 경우는 $LogFile과 $MFT 파일만 Parse하더라도 충분히 확인이 가능함
(단, $LogFile은 단기적인 정보만 저장되기 때문에 $J 파일을 같이 첨부하여 보길 권장 / 급하면 어쩔수 없고)

* Parsing 후, Search에서 특징 검색 후, $LogFile(Search Result)에서 확인 가능

파일 변경 사항에 대한 로그 확인 가능

- 추가로 아래는 $LogFile을 Parse 하였을 시, Target VCN이라는 파라미터로도 변경 사항을 추적하는 방법임
(다른 파라미터로도 추적은 가능하며 상황에 따라 응용하여 사용을 권장)

변경 사항 중, Target VCN 파라미터의 값을 미리 확인
이후, 해당 Target VCN 값을 Search 조건에 넣고 검색하면, 기존 검색에서 확인하지 못한 추가 정보가 확인됨

2) $LogFile, $J, $MFT를 사용한 검색
- 방식은 위와 다를게 없다

- 단, $J가 추가된 만큼 검색에 사용할 수 있는 다른 파라미터가 더 존재하며 TargetVCN처럼 이 또한 파일 변경 사항 추적에 추가로 사용할 수 있다

$J 추가 후, 검색 시, FileReferenceNumber 파라미터 미리 확인
미리 확인했던 FileReferenceNumber 파라미터로 검색 시, 추가 상세 정보 확인 가능

3) 파일 변경 사항 시간 추적(CSV Export)
- $LogFile, $J, $MFT Parse 후, CSV Export 하여 확인하면 대량의 데이터에 대한 시간 추적이 가능하다

CSV Export
엑셀 Export 후, 셀 서식에서 시간 형식 조정

- 문제는 CSV Export하면 모든 데이터가 다 출력되다 보니 어마어마하게 데이터가 많다
(불필요한 데이터를 소거하면서 분석하는 방식이 권장된다)
- 사실 어마어마하게 렉이 많이걸린다. 데이터가 정말 많다. 인내가 필요한 작업이다

 

 

 

반응형
저작자표시 비영리 변경금지

'Information Security > Digital Forensic' 카테고리의 다른 글

[Digital Forensic] Windows Memory Forensic  (1) 2024.10.11
[Digital Forensic] Windows Timeline (With DB Browser for SQLite)  (0) 2024.10.08
[Digital Forensic] Prefetch  (0) 2024.09.27
[Digital Forensic] Jump List  (0) 2024.09.26
[Digital Forensic] 네트워크 정보 확인  (0) 2024.09.26

'Information Security/Digital Forensic' Related Articles

티스토리툴바