230517 기초1팀 6주차 과제

$MFT

MFT(Master File Table)

• NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조
• 하나의 파일당 하나의 MFT 엔트리를 가짐
• $MFT란 MFT 엔트리들의 집합

MFT 엔트리

• 파일의 이름, 생성·수정·변경시간, 크기, 속성 등을 가지고 있음
• 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음

$LogFile

저널링(Jounaling)

• 데이터 변경을 디스크에 반영하기 전에 행위를 기록하여 추후 오류 복구에 활용
• 데이터를 기록하는 동안 시스템에 문제가 생기면 데이터가 손실됨
• 문제가 발생하기 전에 “어떤 데이터를, 언제, 어디에 쓰는지” 기록
• 문제가 발생하면 기록을 토대로 작업이 이루어지기 전 상태로 시스템을 복원 트랜잭션(Transaction)
• "쪼갤 수 없는 업무 처리의 최소 단위”
• 파일이나 디렉토리 생성, 수정, 삭제, MFT 레코드 변경 등
• $LogFile: 메타데이터의 트랜잭션 저널 정보

$UsnJrnl Digital Forensics

• 파일이나 디렉토리에 변경 사항이 생길 때 이를 기록하는 로그 파일
• 파일 복원의 목적이 아니라, 단순 파일 작업이 있었다는 사실을 확인하기 위함
• 시간 순서대로 엔트리를 저장하고, 기본 크기는 32MB
• 하루 8시간 사용시 4~5일 정도의 데이터를 저장하고 있음

바로가기 파일
링크 파일로 윈도우에만 존재하는 기능으로 응용프로그램, 디렉터리, 파일 등의 객체를 참조하는 파일
바로가기 생성
-윈도우 설치 시(시작 메뉴)
-사용자 생성과 활동(… 최근 문서)(사용자별 바탕화면, send To 폴더, 빠른 실행 폴더)
-응용 프로그램 설치 시
-사용자 직접 생성

바로가기 구조
Shell Link Binary File Format
-SHELL_LINK_HEADER
식별 정보, 타임스탬프, 선택적인 구조의 존재 유무 플래그
링크 대상 파일의 속성
링크 대상 파일의 생성, 수정, 접근 시간
-LINKTARGET_IDLIST
ShellLinkHeader의 HasLinkTargetIDList 플래그가 설정되어 있을때만 존재하는 구조로, 링크 대상의 다양한 정보를 리스트 형태로 구성해놓은 구조
-LINKINFO
ShellLinkHeader의 HasLinkInfo 플래그가 설정되어 있을때만 존재하는 구조로 링크 대상을 참조하기 위한 정보를 가진 구조
링크 대상 파일의 크기
링크 대상 파일이 위치한 드라이브 형식
링크 대상 파일이 위치한 드라이브 시리얼 번호
링크 대상 파일의 경로
-STRING_DATA
링크 대상의 문자열 정보(이름, 상대경로, 작업디렉터리 등)를 저장하는 구조
바로가기 설명, 링크 대상까지의 상대 경로, 바로가기 활성화 시 작업 디렉터리 위치 저장
-EXTRA_DATA
링크 대상의 화면 표시 정보, 문자열 코드페이지, 환경 변수와 같은 추가적인 정보 저장을 위한 구조

시그니처 카빙
키빙의 필요성
-사용자의 필요에 의해 삭제 가능성
-최근 문서의 경우 바로가기 파일 수 제한