File System Forensics

[File System] NTFS (18) - MFT 찾기 등 요약

도깬리 2023. 7. 30. 06:56

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 NTFS에서 MFT 찾기와 MFT를 해석하는 과정을 순서대로 요약합니다. 모두 화이팅하세요!!!

 

MFT 분석 요약

특정 엔트리를 찾기 위해서는 부트섹터의 시작주소를 이용해 MFT의 위치를 찾습니다.

MFT 엔트리를 해석하여 속성을 분석합니다.

마지막 속성 이후에는 0xffffffff 값이 존재하고, 그것이 끝 지점입니다 (이것 이후로는 Unused Space 입니다.)

 

 

핵심적인 메타데이터는 $STANDARD_INFORMATION 속성에 존재합니다.

파일의 내용은 $DATA 속성에 존재합니다.

$FILE_NAME 속성은 파일의 시간값을 검증하고, 파일의 부모 디렉토리를 찾을 때 유용합니다.

MFT의 할당 여부는 MFT 플래그와 $MFT의 비트맵으로 판단합니다.

속성의 내용은 MFT 엔트리 안에 존재할 수도 있고, 클러스터 런(외부 클러스터)에 존재할 수도 있습니다.

 

거주형인 경우

헤더에 시작위치(오프셋)와 크기 값을 갖습니다.

비거주형인 경우

헤더에 Run List를 갖습니다

 

분석시 비할당 MFT Entry를 조사해야 합니다.

즉 엔트리에 사용 중 플래그가 설정되어 있지 않다면, 이전에 할당되었던 파일에 대한 정보가 있을 수 있습니다.

이런 식으로 ‘FILE ASCii 시그너처로 시작하는 클러스트를 집중적으로 검색합니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)