Graphical Engine for NTFS Analysis (gena)
소개
Graphical Engine for NTFS Analysis은 TZWorks에서 개발한 Windows $MFT and NTFS Metadata Extractor Tool의 GUI형태이며 Windows, Mac, Linux에서 사용 가능하다. NTFS으로 포맷 된 vmdk파일, dd이미지파일, 로컬 드라이브를 입력하여 자동으로 NTFS 메타데이터파일의 경로를 찾거나 직접적으로 NTFS 메타데이터파일의 경로를 지정하여 내용을 파싱한다. 이 정보를 이용해 NTFS 파티션을 분석해 지정한 확장자를 가진 파일을 복사하거나, 파일의 헤더 부분, 숨겨진 부분, 볼륨 정보, 디스크 정보 등을 CSV 파일 포맷으로 추출할 수 있다.
Graphical Engine for NTFS Analysis의 실행화면은 [그림 1] 과 같다.
사용법
프로그램의 기능은 [그림 2]와 같이 분리되고 각 기능에 대한 설명은 [표 1] 와 같다.
| 번호 | 기능 | 내용 |
|---|---|---|
| 1 | File | dd 이미지 파일, 마운트된 드라이브 및 볼륨, 추출한 $MFT파일, VMDK 이미지 불러오기 |
| Data Format | 저장할 파일의 파일 포맷, 날짜 및 시간 포맷 설정 | |
| Utils | 마운트된 드라이브 정보 | |
| 2 | 파일 트리 | 불러온 NTFS 이미지 또는 드라이브의 파일 트리 |
| 3 | 이름/확장자 필터링 | 파일 확장자로 필터링 (기본적으로 프리패치, 바로가기, 점프리스트, index.dat, 섬네일, 문서파일, 이메일, 이미지, 시스템파일, 휴지통파일 등의 확장자를 선택할 수 있음) |
| 4 | 시그니처 필터링 | 확장자의 고유한 시그니처로 필터링 (기본적으로 바로가기, 이벤트로그, 레지스트리 하이브, SQLite, PE파일, 예약된 파일의 확장자를 선택할 수 있음) |
| 5 | 시간 범위 필터링 | 파일이 가지는 시간정보로 필터링 |
| 6 | 결과파일 설정 | 결과파일에 16진수를 10진수로, 레코드 볼륨 오프셋추가, 클러스터 부분을 추가 |
| 7 | 결과파일 저장경로 | 결과파일의 저장경로를 설정 |
| 8 | 스캔 범위 | $MFT만 스캔, 모든 클러스터를 스캔, $MFT에서 삭제된 파일만 스캔, 클러스터에서 삭제된 파일만 스캔 |
| 9 | 파일 복사 옵션 | 타겟의 파일만 복사, 확장자를 bin으로 붙여서 복사, 파일과 관계된 모든 클러스터복사, 클러스터와 무관하게 복사 |
| 10 | 필터링 리스트 | 필터링 설정 리스트 |
| 11 | 필터링 추가, 편집 제거 | 파일, 텍스트로 필터링 필터링 정보를 수정 및 제거 |
| NTFSWALK 사용 | Spawn ntfswalk 버튼을 이용해 현재 gena와 같은 경로에 있는 ntfswalk.exe를 사용 | |
| 12 | NTFSWALK 창 | 현재 gena와 같은 경로에 있는 ntfswalk.exe GUI 설정화면 |
| 보기 방식 | 트리에서 선택한 파일의 헥사보기, 메타데이터 애트리뷰트 정보보기, 메타데이터 요약 보기 설정 |
메타데이터를 분석하기 위해선 File 메뉴에서 분석한 드라이브 또는 이미지를 불러와야 한다. 자동으로 $MFT 파일을 분석해 좌측에 파일트리가 생성된다. 파일트리의 분석하고자 하는 파일 또는 디렉터리를 선택한 뒤 아래의 (12)의 ntfswalk 버튼을 이용해 사용하기 어려운 Windows $MFT and NTFS Metadata Extractor Tool를 GUI로 이용해 쉽게 필터링하여 사용할 수 있고 그 외의 버튼을 사용할 경우 선택한 파일 및 디렉터리의 정보를 다양한 형태로 볼 수 있다. (12) 버튼의 실행화면은 [표 2]와 같다.
| 버튼이름 | 창 |
|---|---|
| ntfswalk | ![[그림 3] ntfswalk](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Ntfswalk.png)
|
| metadata | ![[그림 4] metadata](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Metadata.png)
|
| vol data | ![[그림 5] vol data](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Vol_data.png)
|
| normal data | ![[그림 6] normal data](/DFWIKI/index.php/%ED%8C%8C%EC%9D%BC:Normal_data.png)
|
| bitmap | normal data와 같음 |
| $Bad ads | |
| $SDS ads | |
| $I30 indx/r | |
| $Sll indx/r | |
| $SDH indx/r | |
| $Sll indx/a | |
| $SDH indx/a | |
| $SDH bitmap | |
| $Sll bitmap |
도구 기능
Graphical Engine for NTFS Analysis은 TZWorks에서 개발한 Windows $MFT and NTFS Metadata Extractor Tool을 쉽게 GUI형태로 사용자가 쉽게 필터링하여 사용할 수 있도록 도와준다. 또한 NTFS 메타데이터 파일을 분석하여 선택한 파일에 연결시켜 정보를 보여준다.
제한 사항
파일 트리에서 드라이브 명을 선택할 시 종료되는 문제점이 있다. 또한 라이브 시스템 분석 시 분석하고자 하는 드라이브 내에 프로그램이 있어야하고 또한 ntfswalk 기능을 사용하기 위해선 ntfswalk.exe 프로그램이 폴더에 함께 있어야 한다.
수사 활용 방안
Graphical Engine for NTFS Analysis은 로컬, 마운팅 된 드라이브, Vmdk 이미지, dd이미지를 Windows, Mac, Linux와 같은 다양한 환경에서 메타데이터 파일을 이용해 원하는 파일 복사, 헤더 정보 및 클러스터 정보를 추출할 수 있다. 또한 파일트리에서 선택한 파일의 메타데이터 정보를 GUI를 통해 쉽게 보여주는 기능을 가지고 있다. 수사 현장에서 Graphical Engine for NTFS Analysis를 사용해 $MFT 및 메타데이터의 정보를 분석할 경우 많은 양의 데이터를 분석해야 하는 다른 도구와 달리 파일 트리에서 해당 파일만 선택하면 되므로 시간을 단축하고 효과적으로 파일을 분석할 수 있다.
