디지털 포렌식 : : 파일시스템 로그 분석

1. 개요

 이번 실습에서 윈도우 운영체제 아티팩트 중 파일시스템 로그분석을 하려고한다.

대상 파일로는 $MFT, $Logfile, $J 이 3가지 파일을 대상으로 진행하였다.

2. 파일시스템 로그

 파일시스템 로그는 파일 IO, 트랜잭션, 수정 등에 대한 로그를 나타낸다. 이 로그는 운영체제가 직접 수행하는 것이 아닌 

파일시스템에서 기록하는 로그이다. NTFS의 경우에 대해 다음을 살펴보자.

- $Logfile

 시스템 비 정상 동작을 대비하기 위한 트랜잭션 로그로 파일 생성/삭제/수정/파일명 변경 등 기록

- $UsnJrnl$J

 파일이나 디렉터리의 속성 변경 내용을 기록, 용량 제한 0(기본 설정 용량 : 64MB)

3. 파일시스템 로그 분석

1) 실습환경

 Windows 7 64bit 이미지 파일을 이용하여 실습을 진행하였다.

해당 이미지는 RAT에 감염된 시스템이고 이 파일은 K-Shield Jr 분석대응 강의에서 제공되었다.

2) 실습도구

 - WinHex 19 Portable 

 - NTFS Log Tracker v1.51

3) 분석 과정

[분석과정 - 1]

'WinHex 19 Portable' 를 관리자 권한으로 실행하고 이미지 파일을 오픈하면 HxD 화면과 같이 Hex 값과 문자열이 출력이 된다.

그 다음 상단의 Speciallist를 클릭후 Interpret Image File As Disk 를 클릭하면 [분석과정 - 1]과 같은 창이 출력이 된다. 그 다음 Partition 2 를 더블클릭하자.

[분석과정 - 2]

이제 파일시스템 로그 분석을 위해서 $J, $MFT, $Logfile 을 추출한다. 

[분석과정 - 2]에서는 $J를 추출하는 화면이다. 해당 파일을 추출하기 위해서는 해당 파일을 우클릭 후 Recover/Copy를 클릭 후 경로 선택을 한다음 OK 버튼을 클릭하면된다.

[분석과정 - 3]

[분석과정 - 3]은 $MFT와 $Logfile을 추출하는 화면이다. 이 두 파일은 같은 경로에 있기때문에 한꺼번에 추출하였다.

이로서 분석을 위한 파일 추출은 완료되었다.

[분석과정 - 4]

이제 추출한 파일을 분석하기 위해서 NTFS Log Tracker를 사용하자. 먼저 파일을 실행하고 $Logfile, $UsnJrnl$J,  

$MFT 파일을 각각 삽입하기 위해 경로를 설정 후 [분석과정 - 4]과 같이 순서에 맞게 실행을 하자.

[분석과정 - 5]

Parse Setting이 끝나고 Ok 버튼을 클릭하면 [분석과정 - 5]와 같이 $Logfile 과 $UsnJrnl$J 에 대한 파일 내용이 출력이 되는 것을 확인할 수 있다. 파일 내용을 확인했을때 직관적으로 알 수 있는 두 파일의 차이점은 $Logfile 은 타임이  생략된 부분이 많지만 

$UsnJrnl$J 는 모든 타임스탬프가 기록되있는거 알 수 있다. 이제 필터링을 통해 필요한 정보만 획득하자.

[분석과정 - 6]

이전 실습(메모리 분석)에서 진행한 이미지와 같은 파일이기 때문에 악성코드로 추정되는 msdcsc.exe 파일을 필터링해서 

검색해 보았다. [분석과정 - 6] 은 $Logfile에서 필터링된 화면이다. 이 화면을 통해 악성코드가 실행된 시간과 행위를 알 수 있다.

[분석과정 - 7]

[분석과정 - 7] 은 $UsnJrnl$J 에서 필터링된 화면이다. 악성코드가 실행되었을때 모든 타임스탬프가와 이벤트가 기록되어있는 것을 알 수 있다.