훈훈훈
디지털 포렌식 : : 파일시스템 로그 분석 본문
1. 개요
이번 실습에서 윈도우 운영체제 아티팩트 중 파일시스템 로그분석을 하려고한다.
대상 파일로는 $MFT, $Logfile, $J 이 3가지 파일을 대상으로 진행하였다.
2. 파일시스템 로그
파일시스템 로그는 파일 IO, 트랜잭션, 수정 등에 대한 로그를 나타낸다. 이 로그는 운영체제가 직접 수행하는 것이 아닌
파일시스템에서 기록하는 로그이다. NTFS의 경우에 대해 다음을 살펴보자.
- $Logfile
시스템 비 정상 동작을 대비하기 위한 트랜잭션 로그로 파일 생성/삭제/수정/파일명 변경 등 기록
- $UsnJrnl$J
파일이나 디렉터리의 속성 변경 내용을 기록, 용량 제한 0(기본 설정 용량 : 64MB)
3. 파일시스템 로그 분석
1) 실습환경
Windows 7 64bit 이미지 파일을 이용하여 실습을 진행하였다.
해당 이미지는 RAT에 감염된 시스템이고 이 파일은 K-Shield Jr 분석대응 강의에서 제공되었다.
2) 실습도구
- WinHex 19 Portable
- NTFS Log Tracker v1.51
3) 분석 과정
[분석과정 - 1]
'WinHex 19 Portable' 를 관리자 권한으로 실행하고 이미지 파일을 오픈하면 HxD 화면과 같이 Hex 값과 문자열이 출력이 된다.
그 다음 상단의 Speciallist를 클릭후 Interpret Image File As Disk 를 클릭하면 [분석과정 - 1]과 같은 창이 출력이 된다. 그 다음 Partition 2 를 더블클릭하자.
[분석과정 - 2]
이제 파일시스템 로그 분석을 위해서 $J, $MFT, $Logfile 을 추출한다.
[분석과정 - 2]에서는 $J를 추출하는 화면이다. 해당 파일을 추출하기 위해서는 해당 파일을 우클릭 후 Recover/Copy를 클릭 후 경로 선택을 한다음 OK 버튼을 클릭하면된다.
[분석과정 - 3]
[분석과정 - 3]은 $MFT와 $Logfile을 추출하는 화면이다. 이 두 파일은 같은 경로에 있기때문에 한꺼번에 추출하였다.
이로서 분석을 위한 파일 추출은 완료되었다.
[분석과정 - 4]
이제 추출한 파일을 분석하기 위해서 NTFS Log Tracker를 사용하자. 먼저 파일을 실행하고 $Logfile, $UsnJrnl$J,
$MFT 파일을 각각 삽입하기 위해 경로를 설정 후 [분석과정 - 4]과 같이 순서에 맞게 실행을 하자.
[분석과정 - 5]
Parse Setting이 끝나고 Ok 버튼을 클릭하면 [분석과정 - 5]와 같이 $Logfile 과 $UsnJrnl$J 에 대한 파일 내용이 출력이 되는 것을 확인할 수 있다. 파일 내용을 확인했을때 직관적으로 알 수 있는 두 파일의 차이점은 $Logfile 은 타임이 생략된 부분이 많지만
$UsnJrnl$J 는 모든 타임스탬프가 기록되있는거 알 수 있다. 이제 필터링을 통해 필요한 정보만 획득하자.
[분석과정 - 6]
이전 실습(메모리 분석)에서 진행한 이미지와 같은 파일이기 때문에 악성코드로 추정되는 msdcsc.exe 파일을 필터링해서
검색해 보았다. [분석과정 - 6] 은 $Logfile에서 필터링된 화면이다. 이 화면을 통해 악성코드가 실행된 시간과 행위를 알 수 있다.
[분석과정 - 7]
[분석과정 - 7] 은 $UsnJrnl$J 에서 필터링된 화면이다. 악성코드가 실행되었을때 모든 타임스탬프가와 이벤트가 기록되어있는 것을 알 수 있다.
'정보보안 > 디지털포렌식' 카테고리의 다른 글
디지털 포렌식 : : 바로가기(.Ink) 파일 분석 (4) | 2018.11.26 |
---|---|
디지털 포렌식 : : 웹 아티팩트 분석 (0) | 2018.11.19 |
디지털 포렌식 : : Volatility 도구를 이용한 메모리 분석 (4) | 2018.11.16 |
디지털 포렌식 : : 메모리 수집 (0) | 2018.11.15 |
디지털 포렌식 : : 비활성 데이터 개념 & 수집 실습 (0) | 2018.11.14 |