NTFS Log Tracker

Digital Forensic Wikipedia
Jimin Hur (토론 | 기여)님의 2015년 1월 22일 (목) 22:01 판
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 가기 검색하러 가기

소개

[그림 1] NTFS Log Tracker 실행화면

[그림 1]NTFS Log Tracker 실행화면

NTFS Log Tracker는 blueangel사에서 개발한 도구이며, 프리웨어이다. 최신 업데이트는 2014년 4월 15일이며, 최신 버전은 1.31버전이다. 본 항에서는 최신버전인 1.31버전을 사용하였다. NTFS Log Tracker는 GUI 기반이며 Windows 운영체제 환경에서 사용 가능하다. NTFS Log Tracker는 NTFS의 $LogFile, $UsnJrnl, $MFT 파일을 파싱하여 CSV파일포맷으로 결과를 출력하는 기능을 제공한다. 또한 SQLite DB 파일을 열어 $Log File을 추출할 수 있다. NTFS Log Tracker의 실행화면은 [그림 1]과 같다.

사용법

[그림 2] NTFS Log Tracker 파싱 결과 화면

[그림 2]NTFS Log Tracker 파싱 결과 화면

NTFS Log Tracker를 이용하기 위해선 $logfile, $usnjrnl, $mft(option)이 필요하다. 위의 파일을 수집하기 위해선 forecopy.exe와 같은 프로그램이 필요하다. 파일 수집이 완료된 다음, 각 파일의 경로를 설정하고 Parsing 버튼을 선택한다. 파싱이 완료되면 [그림 2]와 같은 결과를 볼 수 있다.

도구 기능

기본적인 $logfile, %usnjrnl:$j파일을 파싱한 결과를 보여준다. 또한 결과물을 CSV파일포맷으로 출력하는 기능을 가지고 있다. 그리고 내용을 검색하여 확인할 수 있다.

제한사항

NTFS Log Tracker는 다른 NTFS Log 파싱 프로그램에 비해 쉽고 빠르게 결과를 확인할 수 있다는 장점이 있다. 하지만 버그가 존재하여 간헐적으로 프로그램이 종료된다.

수사 활용 방안

NTFS Log Tracker는 한번에 $logfile, $usnjrnl:$j 파일을 빠르게 파싱해주는 장점이 있다. 간헐적으로 프로그램이 종료되는 버그가 존재하지만, 다른 프로그램에 비해 GUI도 직관적이며 빠르고 쉽게 NTFS Log파일의 내용을 확인할 수 있다.