디지털 포렌식 w6

$MFT

• NTFS 파일 시스템에서 파일, 디렉터리를 관리하기 위한 구조
• 하나의 파일당 하나의 MFT 엔트리를 가짐
• $MFT란 MFT 엔트리들의 집합
• MFT 엔트리
  • 파일의 이름, 생성∙수정∙변경시간, 크기, 속성 등을 가지고 있음
  • 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음

$LogFile

• 저널링
  • 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용
    • 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨
    • 문제가 발생하기 전에 어떤 데이터를 언제, 어디에 쓰는지 기록
    • 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원
• 트랜잭션
  • 쪼갤 수 없는 업무 처리의 최소 단위
  • 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등
  • $LogFile: 메타데이터의 트랜잭션 저널 정보

$UsnJrnl

• 파일이나 디렉토리에 변경사항이 생길 때 이를 기록하는 로그파일
• 파일 복원의 목적이 아니라 단순 파일 작업이 있었다는 사실을 확인하기 위함
• 시간 순서대로 엔트리를 저장하고 기본 크기는 32MB
  • 하루 8시간 사용 시, 4~5일 정도의 데이터를 저장하고 있음

LNK 바로가기

• Windows Shortcut
• .lnk 확장자
• 생성하는 방법
  • 사용자 직접 생성
  • 프로그램 설치 시 생성
  • 운영체제가 자동으로 생성
• 경로
  • 바탕화면 %UserProfile%\Desktop
  • 시작메뉴 %ProgramData%\Microsoft\Windows\Start Menu %UserProfile%\Appdata\Roaming\Microsoft\Windows\Start Menu
  • 최근 실행 %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent
  • 빠른 실행 %ProgramData%\Microsoft\Internet Explorer\Quick Launch %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch %UserProfile%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

Jumplist

• 최근 사용한 파일/폴더에 빠르게 접근하기 위한 구조
• 종류
  • Automatic: 운영체제가 자동으로 남기는 항목
  • Custom: 응용프로그램이 자체적으로 관리하는 항목
• 경로
  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
  • %UserProfile%\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations

Prefetch

• 응용프로그램의 빠른 실행을 위해서 존재하는 파일
• 응용프로그램을 실행할 때에 생성
  • 실행파일 이름, 경로
  • 실행횟수
  • 마지막 실행 시간
  • 최초 실행 시간
• 경로
  • %SystemRoot%\Prefetch