NTFS Directory Enumerator (ntfsdir)
둘러보기로 가기
검색하러 가기
소개[편집]
NTFS Directory Enumerator은 CLI 기반이며 Windows, Mac, Linux에서 사용 가능하다. NTFS으로 포맷 된 vmdk파일, dd이미지파일, 로컬 드라이브를 입력하여 자동으로 $MFT파일을 경로를 찾거나 직접적으로 $MFT파일 경로를 지정하여 내용을 파싱할 수 있다. CSV, XML 파일 형태로 파싱 결과를 출력할 수 있다.
사용법[편집]
Command 창을 관리자 권한으로 실행하여 “ntfsdir c:\ > output.txt” 와 같은 문법으로 사용한다. Command 옵션은 [표 1]와 같다.
| 옵션 | 추가사항 | 설명 |
|---|---|---|
| -drivenum | 마운트 된 디스크 -drivenum <#> -offset <volume offset> | |
| -vmdk | .. | NTFS로 포맷된 VMWare파일 입력 -vmdk <disk name> |
| -mft | .. | 수집한 $MFT 경로를 입력 |
| -image | .. | dd 이미지 입력 -image <filename> -offset <volume offset> |
| -xml | xml 파일포맷으로 결과 출력 | |
| -csv | csv 파일포맷으로 결과 출력 | |
| -alldates | 결과 파일에 모든 데이터, 타임스탬프를 포함 | |
| -recurse | 지정된 위치까지 재귀 -recurse <# levels> | |
| -base10 | 사이즈, 주소를 헥사 시간이 아닌 10진수 형태로 출력 | |
| -indx | 결과파일에 INDX타입 레코드를 포함시킴 | |
| -objjd | 결과파일에 존재할 경우 object ID를 포함 | |
| -filepath_only | 결과파일에 path/file을 포함 -recurse 필수 | |
| -no_whitespace | .. | 공백 없이 csv 퍼알포맷으로 출력 -csv 필수 |
| -csv_separator | .. | csv의 구분자 변경 -csv_separator <separator> |
| -dateformat | .. | 날짜 출력 형식 변경 (default : -dateformat "mm/dd/yyyy") |
| -timeformat | .. | 시간 출력 형식 변경 (default : -timeformat "hh:mm:ss.xxx") |
도구 기능[편집]
NTFS Directory Enumerator은 NTFS Log파일 중 $MFT 파일을 파싱하여 한글 깨짐 없이 CSV, XML 형식으로 결과를 출력해준다. CSV 파일 포맷으로 결과 출력 시 구분자를 지정해 줄 수 있고 날짜, 시간 출력 형식을 원하는 형태로 출력할 수 있다. 시간 정보의 경우 결과 출력 후 한국 시간에 맞추기 위해 +9 시간을 해주어야 한다.
수사 활용 방안[편집]
NTFS Directory Enumerator은 Windows, Mac, Linux와 같은 다양한 환경에서 로컬, 마운팅 된 드라이브, Vmdk 이미지, dd이미지의 $MFT 파일을 파싱하여 기존의 dir 명령어가 제공하지 못하는 시간정보 출력, 재귀탐색을 하는 기능을 제공한다. 하지만 단순 파일 목록만 출력해주고 삭제된 내용은 분석하지 못하는 단점을 가지고 있다.
