Track_the_file 문제

 

시스템의 로그 파일

$MFT	디스크의 모든 파일과 디렉터리에 대한 정보를 저장하는 파일 시스템 핵심 데이터베이스	파일 이름, 크기, 생성/수정/접근 시간 등 메타데이터 확인 가능	[ROOT]\$MFT
$LogFile	파일 시스템의 무결성을 보장하기 위한 트랜잭션 로그	시스템 종료 직전까지의 파일 시스템 변경 내역이 시간 순서로 기록되어 타임라인 분석에 매우 중요	[ROOT]\$LogFile
$UsnJrnl	파일에 발생한 변경 이력을 추적	특정 파일의 Create / Modify / Delete 등 구체적인 행위 추적 가능(예: malware.exe 생성, secret.txt 삭제 여부 확인)	[ROOT]\$Extend\$UsnJrnl

 

첫 번째로 [root]\$LogFile 파일을 추출했다.

 

두 번째로 [root]\$MFT 파일을 추출했다.

 

세 번째로 [root]\$Extend\$UsnJrnl\$J 파일을 추출했다.

 

NTFS Log Tracker 도구를 이용해 추출한 파일들을 아래와 같이 실행해 준다.

 

Parse 버튼을 누르면 아래와 같이 보여준다.

 

 

DB Browser를 이용해 만들어진 DB 파일을 열고 malware.exe를 검색하면 아래와 같이 $UsnJrnl 파일에서 생성된 이벤트를 확인할 수 있다.