Kali-KM_Security Study
블로그 이미지

Home

Write

Setting

About Me
Dark
Forensic/Theory

Extract $MFT

Kail-KM
|2015. 10. 3. 03:45

개요

 File System Forensic을 공부하다보면 메타 데이터 영역이나 MFT라는 단어를 한번 쯤은 들어보았을 것이다. 여기서 MFT란 Mast File Table의 약자로 MFT 엔트리는 1024Bytes의 크기로 각 파일 및 디렉터리의 위치, 시간 정보, 파일 이름, 크기 등의 속성 정보를 가지고 있다.

 이러한 중요한 포렌식적인 요소를 가지고 있기에 중요하므로 이에 대한 문서를 다양하게 접할 수가 있다. 하지만 여기서 필자는 Forensic의 'F'자도 모르는 비전공자의 입장에서 포렌식 공부를 시작하였기에 MFT의 구조나 개념이 아닌 직접 어떠한 내용이 담겨 있는지 확인해 보고 싶었다. 그렇기에 직접 해당 파일을 찾아서 분석해보고 싶었지만 컴맹의 입장에서는 찾기 힘들었고 번거로웠기에 이번 포스팅을 진행한다.


FTK Imager

 보통 FTK Imager를 통하여 추출한다고 한다. 하지만 필자의 PC의 경우에는 추출이 가능하였지만 analyzeMFT와 작용이 제대로 이루어지지 않았기에 다른 방법을 찾게 되었다. 우선 FTK Imager를 통하여 추출한 파일을 MFT00라 저장하였고 아래와 같이 analyzeMFT를 이용하여 .csv 파일로 추출하려고 할 때 저 상태로 작동이 멈추어 버리는 것을 확인하게 되었다.

해당 상태에서 시간이 지나도 완료되지가 않아 작업을 취소하고 CSV 파일을 확인해보았더니 아무런 내용이 저장되어 있지 않은 결과를 확인할 수가 있었다. 다른 PC에서는 어떠할지 모르겠지만 필자의 PC(WIndows10 x64)에서는 제대로 동작하지 않으므로 FTK Imager가 아닌 다른 방법을 모색하여야 했다.


Winhex

 우선 Winhex를 통해 추출한 결과를 말하자면 성공적이였다. 하지만 그 과정에서 자꾸 다른 곳으로 바보같이 헤매었기에 이렇게 포스팅을 통해 정리하고자 한다. 우선 Winhex는 Free버전을 검색을 통하여 쉽게 다운받을 수가 있었다. 다운을 받은 후 해당 폴더에서 setup.exe를 통해 설치를 해도 되지만 설치를 하지 않고 바로 실행할 수 있는 Winhex.exe를 통하여 실행해보았다. (참고로 관리자 권한으로 실행하여야 한다.)

 실행시킨 후 우측 상단에 보면 붉은 상자로 표시한 부분이 존재하는 것을 확인할 수가 있다. 해당 부분을 눌러 현재 디스크의 정보를 수집하는 과정을 진행한다. 해당 과정이 완료되면 아래와 같이 파일들의 목록이 리스트로 정렬되며 여기서 $MFT라는 파일을 발견할 수가 있었다.


 그리고 해당 파일을 오른쪽 클릭하여 확인해보니 Recover/Copy...라는 부분이 존재하는 것을 확인할 수가 있었고 이를 통하여 해당 파일을 다른 곳으로 복사하거나 추출할 수 있을 줄 알았다. 하지만 이러한 방법은 틀린 방법이였다.


 해당 버튼을 클릭하면 0 file(s) and 0 directory/ies were copied.(0 B)라고 뜨며 Messages 박스를 확인해볼 경우 'With this evalution version you cannot save files that are larger than 200 KB.'라는 문구를 확인할 수가 있었다. 즉, 해당 프리버전에서는 200 KB가 초과할 경우 사용할 수 없다는 것이다. 그래서 다른 버전을 구해보기도 하며 전전긍긍하며 해결방안을 찾기 위해 노력해보았다.


 노력한 결과 알아낸 방법은 정말이지 간단해서 당황스러웠다. 이전과 같이 오른쪽 클릭을 통하여 목록을 확인해보면 Viewr Programs 라는 탭을 확인할 수가 있다. 여기서 필자는 Associated Program를 선택하여 HxD를 선택하였다.


 그 결과 제대로된 $MFT의 데이터가 HxD에 나타나는 것을 확인할 수가 있었다. 이제 파일 탭을 클릭하여 다른 이름으로 해당 파일을 저장하면 MFT 추출이 완료되는 것이다. 필자는 MFT0이라는 이름으로 파일을 바탕화면에 저장하였다.


 추출한 'MFT0'이라는 파일을 이제 analyzeMFT 툴을 이용하여 필요한 정보들을 읽기 편하게 뽑아낼 것이다. 여기서 .csv로 한 이유는 .csv로 선택하여 output된 파일은 아래와 같이 엑셀의 형태로 열리게 되며 이는 메모장을 통해 파일을 여는 것보다 훨씬 가독성이 좋게 나타나기 때문이다.


 위와 같이 'okidoki'라는 문자열이 출력되면 성공적을 작업이 완료되었다는 것이다. 따라서 이제 해당 .csv 파일을 열어서 확인해보면 아래와 같이 깔끔하게 내용이 정리된 것을 확인할 수가 있다. 만약 .csv 로 하지 않고 그냥 일반 텍스트 파일로 할 경우에는 정말 심할 정도로 가독성이 떨어지므로 불편한 분석을 하게 될 것이다. 아래와 같이 되어 있으므로 필요 없는 부분은 한번에 삭제가 가능하며 이는 우리가 필요한 정보를 선출하는데 도움을 주며, 정렬 기능을 이용하여 어떠한 부분을 기준으로 분석을 진행할 것인지에 편리함을 더해 준다.









'Forensic > Theory' 카테고리의 다른 글

Torrent Artifacts  (0) 2015.10.06
Retrieving Digital Evidence : Methods, Techniques and Issues  (0) 2015.10.06
Practice USB Artifacts  (0) 2015.10.01
USB Artifacts 관련 정리 - 150930  (0) 2015.09.30
Project Spartan Forensic - Edge  (0) 2015.09.30

티스토리툴바