[$LogFile]
저널링(Jounaling)
데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용한다. 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실되므로 문제가 발생하기 전에 "어떤 데이터를, 언제, 어디에 쓰는지"를 기록한다. 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원한다.
트랜잭션(Transaction)
"쪼갤 수 없는 업무 처리의 최소 단위"로 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등의 이벤트 등을 말한다. $LogFile에는 메타 데이터의 트랜잭션 저널 정보가 들어있다. 메타 데이터는 파일이 가지고 있는 속성 데이터이다.
[$UsnJrnl]
파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일로 파일 복원의 목적이 아니라, 단순 파일 작업이 있었다는 사실을 확인하기 위해 사용된다. 시간 순서대로 엔트리를 저장하고, 기본 크기는 32MB로 하루 8시간 사용시 4~5일 정도의 데이터를 저장하고 있다.
[Practice]
FTK Imager를 열어 Add Evidence Item\Logical Drive\C 드라이브 등록을 실행한 다음에 [root]\$LogFile과 [root]\$Extend\$UsnJrnl\$J를 추출한다. 추출한 $LogFile과 $UsnJrnl을 보기 위해 NTFS Log Tracker를 다운로드한다.
https://sites.google.com/site/forensicnote/ntfs-log-tracker
blueangel's ForensicNote - NTFS Log Tracker
NTFS Log Tracker v1.71
sites.google.com
FTK Imager에서 추출한 LogFile, UsnJrnl, MFT 파일을 각각 업로드한 다음에 Parse 버튼을 눌러준다. 결과물로 생성될 DB 이름을 result로 설정해주었다.
DB 파일을 보기 위해 DB Browser for SQLite를 다운로드한다.
https://sqlitebrowser.org/blog/version-3-12-2-released
Version 3.12.2 released - DB Browser for SQLite
This is a minor maintenance release, primarily to update the internal certificates for anonymous communication with the DBHub.io servers. You don’t need to upgrade unless you’re using DBHub.io anonymously. If you’re using DBHub.io with your own clien
sqlitebrowser.org
NTFS Log Tracker를 통해 생성한 DB 파일을 열어보면 위와 같이 데이터베이스 구조를 확인할 수 있다. 데이터 보기 탭을 눌러 LogFile, UsnJrnl에 대한 분석 데이터를 확인할 수 있다.
Logfile 분석 데이터에서 EventTime을 확인할 수 있고 이를 통해 파일 생성 시기와 파일 이름, 파일 생성 경로 등을 확인할 수 있다.
UsnJrnl 분석 데이터에서 TimeStamp를 확인할 수 있고 이를 통해 파일에 어떤 이벤트가 발생했는지 확인할 수 있다.
'포렌식 > 기초부터 따라하는 디지털 포렌식' 카테고리의 다른 글
| Jumplist 개념 및 실습 (0) | 2022.07.28 |
|---|---|
| 바로가기(.LNK) 개념 및 실습 (0) | 2022.07.27 |
| $MFT 개념 및 실습 (0) | 2022.07.27 |
| Windows Registry 실습 (0) | 2022.07.23 |
| Registry 개념 및 실습 (0) | 2022.07.17 |
