NTFS Log Tracker
소개[편집]
[그림 1] NTFS Log Tracker 실행화면
![[그림 1]NTFS Log Tracker 실행화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:NTFS_Log_Tracker_%EC%8B%A4%ED%96%89%ED%99%94%EB%A9%B4.png){kind=tracking}
NTFS Log Tracker는 blueangel사에서 개발한 도구이며, 프리웨어이다. 최신 업데이트는 2014년 4월 15일이며, 최신 버전은 1.31버전이다. 본 항에서는 최신버전인 1.31버전을 사용하였다. NTFS Log Tracker는 GUI 기반이며 Windows 운영체제 환경에서 사용 가능하다. NTFS Log Tracker는 NTFS의 $LogFile, $UsnJrnl, $MFT 파일을 파싱하여 CSV파일포맷으로 결과를 출력하는 기능을 제공한다. 또한 SQLite DB 파일을 열어 $Log File을 추출할 수 있다. NTFS Log Tracker의 실행화면은 [그림 1]과 같다.
사용법[편집]
[그림 2] NTFS Log Tracker 파싱 결과 화면
![[그림 2]NTFS Log Tracker 파싱 결과 화면](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:NTFS_Log_Tracker_%ED%8C%8C%EC%8B%B1_%EA%B2%B0%EA%B3%BC_%ED%99%94%EB%A9%B4.png){kind=tracking}
NTFS Log Tracker를 이용하기 위해선 $logfile, $usnjrnl, $mft(option)이 필요하다. 위의 파일을 수집하기 위해선 forecopy.exe와 같은 프로그램이 필요하다. 파일 수집이 완료된 다음, 각 파일의 경로를 설정하고 Parsing 버튼을 선택한다. 파싱이 완료되면 [그림 2]와 같은 결과를 볼 수 있다.
도구 기능[편집]
기본적인 $logfile, %usnjrnl:$j파일을 파싱한 결과를 보여준다. 또한 결과물을 CSV파일포맷으로 출력하는 기능을 가지고 있다. 그리고 내용을 검색하여 확인할 수 있다.
제한사항[편집]
NTFS Log Tracker는 다른 NTFS Log 파싱 프로그램에 비해 쉽고 빠르게 결과를 확인할 수 있다는 장점이 있다. 하지만 버그가 존재하여 간헐적으로 프로그램이 종료된다.
수사 활용 방안[편집]
NTFS Log Tracker는 한번에 $logfile, $usnjrnl:$j 파일을 빠르게 파싱해주는 장점이 있다. 간헐적으로 프로그램이 종료되는 버그가 존재하지만, 다른 프로그램에 비해 GUI도 직관적이며 빠르고 쉽게 NTFS Log파일의 내용을 확인할 수 있다.
