소개

[그림 1] analyzeMFT 실행화면

analyzeMFT은 GUI기반이며, Windows 운영체제에서 사용가능하다. analyzeMFT은 $MFT경로를 입력받아, CSV파일포맷으로 결과를 출력하는 기능을 제공한다. analyzeMFT의 실행화면은 [그림 1]과 같다. 아무런 내용도 출력되지 않고 파일의 입력과 저장할 경로를 선택하는 다이얼로그가 실행된다.

사용법

analyzeMFT을 이용하기 위해선 $MFT이 필요하다. $MFT추출은 도구에서 지원하지 않으며, 다른 도구를 사용하여 추출해야 한다. 파일 수집이 완료 된 뒤, $MFT의 경로를 설정하고, 출력할 경로를 설정하면 분석이 시작된다.

도구 기능

analyzeMFT은 $MFT에 저장된 정보들을 분석해 CSV파일포맷으로 저장할 수 있다. 시간 정보의 경우 엑셀과 호환되는 날짜/시간으로 변환되어 출력한다. 모든 $MFT를 정상적으로 파싱하고 한글의 경우 인코딩되어 저장된다. 한국 표준 시간으로 보기 위해선 모든 시간 값에 +9시간을 더해주어야 한다.

제한사항

analyzeMFT을 사용하여 $MFT를 분석할 경우, 단순히 파싱하는 기능만 제공한다. 또한 저장 파일의 형태도 CSV파일포맷만 가능하다.

수사 활용 방안

수사 현장에서 $MFT의 정보를 분석할 경우 analyzeMFT는 $MFT의 정보를 쉽게 확인할 수 있다는 장점을 가지고 있다. 하지만 설치를 필요로 하고 $MFT를 다른 프로그램을 이용해 수집해야만 한다.