본문 바로가기

[+] Forensic

File System - NTFS (20)

이번 글에서는 마지막으로 남은 메타데이터 파일들을 알아보도록 하겠다.

[$LogFile]
해당 메타데이터는 MFT 엔트리 세 번째에 위치하며, NTFS 저널링에 사용된다. 속성은 표준 속성을 가지고 있고 로그 데이터를 내용으로 가지고 있는데 이 내용은 $DATA 속성에 포함되어 있다. 하지만 오프셋 구조는 아직 정확히 알려진 바가 없어 애매한 내용을 언급하면 혼란만 초래하므로 해당 메타데이터 파일 분석은 조금 더 정확한 분석이 되면 그때 언급 하도록 하겠다.


[$UsrJrnl]
해당 메타데이터 파일은 변경 저널링에 사용되며 파일에 변경이 발생하면 해당 메타데이터 파일에 관련 정보가 기록된다.
해당 파일도 $ObjId, $Quota 등의 파일과 마찬가지로 MFT 예약 엔트리에 있지 않고 $Extend 메타데이터 파일에 포함되어 있다. 해당 메타데이터 파일에는 두가지 $DATA 속성이 존재한다.

 - $J : $J라는 이름을 가지고 있는 $DATA 속성으로 이 속성은 sparse 속성이며, 다른 크기로 된 데이터 구조체 목록을 포함하고 있다. 
 - $Max : $Max라는 이름을 가지고 있는 $DATA 속성으로 이 속성은 사용자 저널링 최대 설정의 대한 정보가 포함하고 있다.

 * 참고 : $J는 변경 저널 엔트리라고 부른다.


해당 파일은 응용 프로그램 참조 모델에 속하는 파일이다 보니 해당 파일들의 데이터는 비 필수 데이터들이다.

 * 참고 : 본래 저널링 기술은 기본 설정이 비 활성화인데 필자가 가지고 있는 NTFS image 모두 저널링 기술이 활성화 되어 있지 않아 해당 메타데이터 파일이 없다. 이러한 이유로 오프셋 구조는 표로 대체한다.
 

[그림 1 - $J 속성의 오프셋]


 - 변경 유형 플래그 : 해당 오프셋의 값은 변경 저널 엔트리 생성 이유를 의미하기도 한다. 아래 목록의 플래그 값들이 하나 이상 설정 될 수 있다.
 

[그림 2 - 변경 유형 플래그 목록]


아래는 $Max 속성의 오프셋 구조이다.

[그림 3 - $Max 속성의 오프셋]


오프셋 구조를 보면 포렌식적 의미를 가진 정보는 없는 것을 볼 수 있다.


위 설명을 끝으로 NTFS의 분석이 끝이 났다. NTFS는 여러가지 기능과 복합적인 구조로 인해 분석이 어려운편에 속하는 파일시스템이다. 또 아직까지 알려지지 않은 데이터 구조체 필드로 인해 또 어떠한 포렌식적 의미의 정보가 있는지 알 수 없다.



'[+] Forensic' 카테고리의 다른 글

File System - Ext (2)  (0) 2012.02.20
File System - Ext (1)  (0) 2012.02.20
File System - NTFS (20)  (0) 2012.02.19
File System - NTFS (19)  (0) 2012.02.19
File System - NTFS (18)  (0) 2012.02.18