파일시스템 메타데이터 분석 도구
파일시스템 메타데이터는 특정 파일시스템에서 파일·디렉터리의 정보를 담고 있는 데이터이다. 이 메타데이터에는 파일·디렉터리의 이름, 크기, 경로, 할당 정보, 시간 정보 등이 저장된다. 따라서 파일시스템 메타데이터 분석을 통해 파일·디렉터리의 정보와 최근 접근 시간 등을 알 수 있고, 삭제된 파일에 관한 정보까지 획득할 수 있다. 본 절에서는 파일시스템 메타데이터 분석 도구 중 analyzeMFT, mft2csv, MFTview에 대하여 살펴볼 것이다.
- analyzeMFT
- mft2csv
- MFTView
- NTFS Directory Enumerator (ntfsdir)
- Windows INDX Slack Parser (WISP)
- Windows $MFT and NTFS Metadata Extractor Tool (ntfswalk)
- Graphical Engine for NTFS Analysis (gena)
파일시스템 메타데이터 분석 도구 기능 분석
파일시스템 메타데이터 분석 도구는 현장에서 Windows 시스템의 파일 시스템 메타데이터를 수집하고 수집된 자료를 분석하여 GUI 형태로 결과를 보여주거나 보고서를 생성하는 도구이다. 현재 개발되어 사용 중이거나 오픈소스, 프리웨어인 여러 로그 분석 도구는 기본적으로 시스템 의 파일 시스템 메타데이터의 파싱 기능은 공통적으로 포함하고 있으며, 각 제품별로 기능에 약간의 차이를 두고 특성화되어 있다고 할 수 있다.
도구 기능 분석 전략
선별된 파일 시스템 메타데이터 분석 도구의 정확한 비교ㆍ분석을 위해 기본적인 기능과 정확한 파싱 및 검색 기능 지원 여부 등 유용하게 활용 가능한 데이터 수집 및 분석 기능을 가지고 있는지 테스트 데이터 세트를 구축하여 확인할 예정이다. 테스트 데이터 세트에 포함될 파일 시스템 메타데이터 분석 도구의 세부 기능은 [표 1]과 같다.
| 구분 | 기능 |
|---|---|
| 파일시스템 메타데이터 분석 도구 평가 항목 |
라이브 시스템 분석 |
| 이미지 파일 분석 | |
| 추출한 $MFT 파일 분석 | |
| 깨진 MFT 데이터 복구 | |
| SLACK 영역 추출 | |
| 미할당영역 추출 | |
| 한글지원 | |
| 분석된 엔트리 개수 | |
| 분석 시간 |
도구 기능 분석을 위해 [표 2]와 같은 환경의 테스트 데이터 세트를 구축하여 비교 분석하였다.
| 운영체제 | $MFT 파일의 엔트리 개수 |
|---|---|
| Windows XP 32bit | 11312개 |
| Windows 7 32bit | 44800개 |
| Windows 7 64bit | 61969개 |
테스트 결과
구축된 테스트 데이터 세트 환경에서 분석도구를 테스트 및 비교한 결과는 [표 3]과 같다.
| analyzeMFT | mft2csv | MFTview | ntfsdir | WISP | ntfswalk | gena | ||
|---|---|---|---|---|---|---|---|---|
| 공통 | 이미지분석 | X | ○ | X | ○ | ○ | ○ | ○ |
| 라이브시스템 분석 | X | ○ | X | ○ | ○ | ○ | ○ | |
| MFT파일분석 | ○ | ○ | ○ | X | X | ○ | ○ | |
| 깨진 MFT 데이터 복구 | X | △ | X | X | X | X | ○ | |
| SLACK영역추출 | X | X | X | X | ○ | ○ | ○ | |
| 미할당영역 추출 | X | X | X | X | X | ○ | ○ | |
| 한글지원 | X | ○ | ○ | X | X | X | ○ | |
| XP | $MFT개수 | 11312 | 11312 | 988 | X | 11404 (slack:92) | 11404 (slack:92) | X |
| 시간 | 2초 | 1분40초 | 1초 | X | 12초 | 3초 | X | |
| Win7 32bit | $MFT개수 | 44800 | 44800 | 988 | X | 45422 (slack:622) | 45422 (slack:622) | X |
| 시간 | 16초 | 약1분 | 즉시 | X | 30초 | 30초 | X | |
| Win7 64bit | $MFT개수 | 61696 | 61969 | 993 | X | 62506 (slack:537) | 62506 (slack:537) | X |
| 시간 | 16초 | 약1분 | 즉시 | X | 30초 | 30초 | X | |
비교 결과 mft2csv가 가장 효율적으로 파일시스템 메타데이터를 분석하였다. ntfswalk는 비록 한글지원이 되지 않으나 slack 영역을 분석할 수 있고 WISP의 모든 기능을 지원하므로 slack 영역을 분석해야 할 경우 필요할 수 있다. 그 밖에 다른 도구의 단점을 나열하자면 analyzeMFT는 한글을 지원하지 않으며 이미지를 분석할 수 없다. MFTview는 windows 폴더 외에 다른 $MFT 엔트리를 분석하지 못한다. gena는 gena의 실행파일이 존재한 파티션 외에 다른 파티션을 분석하지 못하는 버그가 존재한다. 마지막으로 ntfsdir은 $MFT를 분석하는 도구가 아닌 지정된 위치의 하위 폴더를 탐색하는 도구이므로 비교가 불가능했다.
