Mft2csv

Digital Forensic Wikipedia
둘러보기로 가기 검색하러 가기

소개

[그림 1] mft2csv 실행화면

mft2csv은 GUI기반으로 Windows 운영체제에서 사용가능하다. mft2csv은 $MFT, dd 이미지 파일, 라이브 시스템 등을 입력하여, CSV 파일포맷으로 분석 결과를 출력하는 기능을 제공한다. mft2csv의 실행화면은 [그림 1]과 같다.







사용법

mft2csv이 입력받을 $MFT의 경로를 입력한다. mft2csv가 입력받을 수 있는 목록과 해당 버튼은 [표 1]과 같다.

[표 1] mft2csv 입력 파일 목록과 해당 버튼
종류 설명 버튼
Live System 운영체제가 Windows인 현재 사용 중인 시스템 Rescan mounted Drives
*.dd Windows 이미지 파일 Choose Image
$MFT 파일 다른 곳에서 추출한 $MFT파일 Choose $MFT

$MFT를 메모리에서 추출했을 경우 Skip Fixups을 체크 하고, $MFT가 손상되었을 경우 Broken $MFT를 체크한다. 만약 Resident Data를 추출하고 싶을 경우 Extract Resident Data을 체크하면 된다. 원하는 output format을 선택하고 데이터 구분자 및 Quotation mark 여부를 설정한다. 각 데이터를 유니코드로 출력하고 싶을 시 Unicode를 체크 한다. 시간 정보의 경우 6가지의 포맷이 지원된다. 원하는 Timestamp format을 설정하고 시간 단위를 설정한다. 이후 Set Extract Path 버튼으로 저장할 경로를 설정한 뒤 StartProcessing 버튼을 선택하면 분석이 시작된다.

도구 기능

[그림 2] mft2csv 라이브 시스템 $MFT 분석
[그림 3] mft2csv 이미지 $MFT 분석
[그림 4] mft2csv $MFT파일 분석

mft2csv의 경우 라이브 시스템([그림 2]), dd 이미지 파일([그림 3]), $MFT파일([그림 4])와 같이 다양한 입력 형태로 $MFT분석을 지원한다.





제한사항

처음 구분자 설정 시 ‘|’를 ‘,’로 설정해주어야 올바른 CSV 파일 형태로 저장이 된다. 분석이 다른 프로그램에 비하여 조금 느리다는 단점이 있다.





수사 활용 방안

수사 현장에서 $MFT의 정보를 수집 하여 분석할 경우 mft2csv는 다른 $MFT분석 프로그램이 지원하지 않는 이미지 형태의 파일 분석과 라이브 시스템의 분석이 가능하다는 장점이 있다. 또한 log2timeline이 지원하는 형태로 CSV파일포맷으로 출력이 가능하여 추출 후 log2timeline 프로그램을 이용할 수 있다.