MFTView
둘러보기로 가기
검색하러 가기
소개[편집]
MFTview은 GUI기반으로 Windows 운영체제에서 사용가능하다. MFTview은 $MFT 파일이 저장하고 있는 경로를 입력하여, CSV로 결과를 출력하는 기능을 제공한다. MFTview의 실행화면은 [그림 1]과 같다.
사용법[편집]
MFTview을 이용하기 위해선 $MFT가 필요하다. $MFT의 수집은 이 도구에서는 지원하지 않으며, 다른 도구를 사용하여 수집하여야 한다. 도구의 사용 방법은 File 탭의 Open MFT를 선택하여 $MFT의 경로를 설정하면 바로 분석이 시작된다.
도구 기능[편집]
MFTview의 경우 [그림 2]처럼 총 5개의 화면으로 구성된다.
각 기능은 [표 1]과 같다.
| 화면구성번호 | 기능 | 내용 |
|---|---|---|
| 1 | 폴더 트리 | 전체 시스템의 폴더 트리 |
| 2 | MFT 엔트리 목록 | 전체 MFT 엔트리 목록 또는 하위의 Parent를 체크할 시 폴더 트리에서 선택한 폴더의 하위 MFT 엔트리 목록 |
| 3 | MFT 엔트리 구조 | 선택한 MFT 엔트리의 구조 |
| 4 | 헥사 뷰어 | MFT 엔트리를 16진수로 출력 |
| 5 | 데이터 해석기 | 지원 안 됨 |
또한 상단 메뉴의 Export 탭의 선택하여 CSV, XML, HTML, TXT 파일포맷 중 원하는 방식으로 결과를 출력할 수 있다. 모든 파일을 정상 파싱하지 못하고 한글이 깨진 상태로 출력한다.
수사 활용 방안[편집]
수사 현장에서 $MFT의 정보를 수집 하여 분석할 경우 MFTview는 모든 MFT엔트리를 출력하지 않고 부분적으로만 출력 한다. 따라서 모든 정보를 획득할 수 없으므로 수사에서 사용하기에 문제가 있다.
