디지털포렌식

[디지털포렌식] NTFS Log Tracker 사용법

junpal2 2024. 11. 25. 11:15

이번 게시물에서는 파일 시스템의 로그와 로그 분석을 위한 NTFS Log Tracker 툴의 사용법에 관해 알아보자.

1. Filesystem Log, 파일 시스템 로그란?

로그란 변경사항을 추적하거나 기록하기 위해 파일 시스템에서 생성하는 것으로, IO 파일, transaction, 수정 등의 내용을 포함하고 있다. 운영체제가 직접 수행하는 것이 아니라 파일 시스템 자체에서 생성하는 것이다.

2. NTFS Log란?

마이크로소프트에서 개발한 파일시스템인 New Technology File System에서 생성한 로그로 크게 Transaction 로그와 Change 로그로 나눌 수 있다.

 

- Transaction Log

커밋되지 않은 transaction을 롤백하기 위한 메타데이터 변경 사항 기록하는 것이다. 시스템 오류가 발생했을 때 transaction 로그로부터 복구할 수 있다.

ex. \$LogFile

 

- Change Log

파일 및 폴더의 변경 사항들을 저장해두는 파일시스템 로그로 Windows 7부터 기본적으로 활성화 되어있다. 필요한 경우 이를 추적할 수 있다. 

ex. \$Extend\$UsnJrn:$J

 

이러한 파일 시스템 로그를 분석한다면 특정 기간 동안 발생한 이벤트, 즉 사용자 행동을 분석하거나 범죄 방지와 관련하여 파일 삭제 및 이름 변경 등 중요 활동들을 추적하는 것이 가능하다.

3. NTFS Log 파일의 종류

- $Logfile

$Logfile은 transaction 로그 파일 중 하나로 시스템 오류와 같은 치명적인 사고가 발생했을 때 안정성 및 복구 가능성에 활용된다. 기본 로그 파일의 파일 크기는 64 MiB이고, 일반적으로 2~3시간 동안 로그를 보관한다. 시스템 전원이 꺼지기 직전에 생성된 트레이스 포함한다.

파일 및 폴더의 생성 및 삭제, 이름 변경, 이동 뿐만 아니라 데이터 작성이나 MFT 레코드 변경 등의 내용을 담고 있다.

 

- $UsnJrnl

$UsnJrnl은 change 로그 파일 중 하나로 기본 로그 파일의 파일 크기는 32 MiB이다. 보관 기간은 시스템 사용량에 따라 다를 수 있지만 일반적으로 4~5일 동안 로그를 보관한다.
변경된 정보에 관한 USN(업데이트 시퀀스 번호), 변경된 시간 및 변경 이유나 MFT 레코드 번호, 파일 및 폴더의 이름, 속성 등의 내용을 담고 있다.
이를 이용해 멀웨어의 활동 흔적을 추적할 수 있다.

 

4. NTFS Log Tracker 사용법

NTFS Log Tracker를 사용하기 위해서는 앞서 말했던 로그 파일들이 필요하기 때문에 KAPE를 이용해 추출해줄 것이다.

아래 그림이 gkape.exe를 실행시키면 뜨는 화면인데 검색에 $J, $LogFile, $MFT를 검색해 파일들을 추출해주면 된다.

 

이렇게 추출한 파일들을 NTFS Log Tracker에서 이용해줄 것이다.

https://sites.google.com/site/forensicnote/ntfs-log-tracker

 

blueangel's ForensicNote - NTFS Log Tracker

NTFS Log Tracker v1.8

sites.google.com

NTFS Log Tracker는 위 링크에서 다운로드 받을 수 있다.

위의 화면은 NTFS Log Tracker를 실행시켰을 때의 화면인데, $LogFile에는 KAPE에서 추출한 $LogFile 파일의 경로를, $UsnJrnl$J는 KAPE에서 추출한 $J 파일의 경로를, $MFT에는 KAPE에서 추출한 $MFT 파일의 경로를 넣어주면 된다. Parse Setting 창에서 timezone 수정도 가능하니 원하는 시간대에 맞추어 설정해주고 start를 해주면 분석이 된다.

 

이를 바탕으로 아래 탭에서 이름을 바꿨다거나 삭제 됐다는 등 본인이 찾고자 하는 이벤트가 아래 분석에서 어떤 카테고리로 저장되는지 확인하고, 이를 검색창에 맞게 입력해 원하는 이벤트만 찾는 것과 같이 이용하면 된다.

 

 

 

감사합니다!

 

 

*Windows 가상머신을 이용한 실습법입니다.