[File System] NTFS (19) - MFT 분석시 고려 사항

안녕하세요. 도깬리 포렌식스 입니다.

오늘은  NTFS에서 MFT 분석시 고려사항에 대해 알아보겠습니다. 모두 화이팅하세요!!!

 

MFT 분석 고려 사항

일부 파일/디렉토리는 2개의 $DATA속성을 갖고 있을 수도 있습니다.

추가적인 $DATA 속성은 윈도우에서 보이지 않는 영역이므로, 데이터를 숨기는데 이용될 수도 있습니다.

MFT 엔트리나 속성의 Unused Space도 데이터를 숨기는 데 이용될 수 있습니다.

다만, $DATA와 같이 그 크기가 가변적인 경우, 해당 부분이 덮어쓰여 질 수 있으므로 데이터를 은닉하기에 용이하지 않은 측면도 있습니다.

MFT 엔트리는 하나의 테이블 형태로 할당되기 때문에 비할당 엔트리를 찾기가 용이하지 않습니다.

비할당 MFT 엔트리를 찾으면, $FILE_NAME 속성을 분석합니다. 이것을 분석하면 원래의 파일 이름과 부모 디렉토리의 MFT 엔트리 주소를 알 수 있습니다.

 

MFT 엔트리에서 할당된 엔트리와 비할당 엔트리를 구분하는 플래그

 

 

파일을 삭제하더라도

‘거주형’인 경우,

해당 MFT 엔트리가 재할당되지 않는 한, 기존 파일의 내용은 여전히 MFT 엔트리 안에 존재할 것 입니다.

그러나 증거로써 사용되는 파일의 크기는 대부분 700 바이트 이상일 것 입니다.

만약, 해당 MFT 엔트리가 재할당 되면 복구가 어렵게 됩니다.

 

‘비거주형’인 경우에는,

해당 클러스터가 재할당되지 않는 한, 클러스터 Runs의 위치가 여전히 MFT 엔트리 안에 존재할 것이므로, 이를 이용하여 복구할 수 있습니다.

해당 MFT 엔트리가 재할당된 경우에도 외부 클러스터의 내용은 여전히 존재하고 있을 것이므로, 응용프로그램 수준의 기술을 사용하여 복구를 할 수 있습니다.

만약 파일의 모든 속성이 단일 MFT 엔트리가 아니라 여러 개의 MFT 엔트리로 쪼개져서 할당된 경우에는 복구 하기가 더 어려워집니다.

 

MFT 엔트리를 재할당하는 순서 등 참고사항

윈도우는 작은 주소를 갖는 비할당 엔트리를 큰 주소를 갖는 비할당 엔트리보다 먼저 재사용합니다.

즉, 작은 주소를 갖는 파일을 복구하기가 상대적으로 더 어렵습니다. (예 : MFT 126번 주소를 갖는 파일보다 MFT 32번 주소를 갖는 파일이 복구하기가 더 어렵다)

윈도우는 파일의 마지막 섹터의 사용하지 않는 바이트는 ‘0’으로 씁니다

윈도우는 파일의 사용하지 않는 섹터(파일 슬랙)는 ‘0’으로 쓰지 않습니다. 따라서 이 경우, 과거의 삭제된 데이터의 흔적이 발견 될 수도 있습니다.

파일을 압축한 경우, 슬랙 공간이 없게 되고, 압축된 형식으로 저장된 데이터가 삭제된 경우, 복구가 불가능합니다.

파일 삭제시 MAC Time 값은 변화가 없습니다.

$FILE_NAME은 임시 시간 값을 갖고 있습니다.

$STANDARD_INFORMATION의 시간 값을 변조한 경우, $FILE_NAME의 시간 값을 이용하여 변조 여부를 분석할 수 있습니다.

 

 

 

감사합니다. 오늘도 즐거운 하루 되세요.

"좋아요"와 "구독하기"는 힘이 됩니다.

참고문서 : File System Forensic Analysis (Brian Carrier)