KISA 온라인 해킹방어 훈련장 - Forensic 5 범인의 이름을 찾아라!

   

   

포맷을 해서 파일시스템의 구조를 볼 수는 없다.

적절한 MBR과 VBR을 넣어주면 보일 거 같은데 귀찮다

우선 열어보면 NTFS이다. 그리고 MFT들이 보이고, DriveFreeSpace00들이 보인다.

   

그냥 나는 String으로 막 열어서 뒤져보았다

DriveFreeSpace06에서 워드 파일들이 많이 있길래 보다 보니 이런 부분이 있다

   

roosy를 입력하니 정답이다;;;

내가 게싱능력이 좀 있는거 같긴 하지만 이런식으로 푸는게 맞는건지 모르겠다.

혼자서 공부하는 것은 이러한 한계가 있다. 공부방식이 제대로 된 건지 아닌지가..

   

그냥 넘어가기 그러니 NTFS의 MFT에 대해서 조금만 공부해야 겠다

역시 출처는 포렌식프루프이다.

http://forensic-proof.com/archives/470

   

• $MFT는 MFT 영역에 대한 MFT 엔트리이다. 이 말이 다소 혼동될 수 있으니 잘 기억해 두자. NTFS는 MFT 영역 자체도 하나의 파일로 본다. 따라서 $MFT는 MFT 영역 파일에 대한 MFT 엔트리이다. 따라서 $MFT 에는 MFT 영역의 크기, 위치, 할당 정보 등이 저장된다.
• $MFTMirr는 $MFT의 백업본이다. 실제로 $MFT의 첫 4개 엔트리를 복사하여 저장하고 있다.
• $LogFile은 메타데이터(MFT 영역)의 트랙잭션 저널 정보를 기록한다. 새로운 파일의 생성, 내용 변경, 파일 이름 변경 등의 MFT Entry에 영향을 주는 모든 정보를 기록해 둔다. 트랜잭션이 정상 완료되지 못했다면 시스템 재부팅시 자동 복구를 수행한다.
• $Volume은 볼륨의 레이블, 버전 등의 정보를 저장한다.
• $AttrDef는 속성의 이름, 크기, 식별자 등의 속성 정보를 저장한다.
• .(Root Directory)는 볼륨의 루트디렉터리를 의미하는 것으로 디렉터리 구조의 파일을 빠르게 접근하기 위해 INDEX 구조로 저장된다.
• $Bitmap는 볼륨의 클러스터 할당 정보를 비트맵으로 저장한다. 특정 클러스터가 파일시스템에서 사용중이라면 1, 아니라면 0으로 표현한다.
• $Boot는 볼륨의 부트 섹터와 추가적인 부트 코드를 저장하고 있다.
• $BadClus는 배드 섹터 발생 시 배드 섹터를 포함하는 클러스터는 사용할 수 없기 때문에 배드 섹터가 포함된 클러스터를 관리하기 위해 존재한다.
• $Secure는 볼륨의 모든 파일에 대한 보안 및 접근제어를 수행하기 위해 보안 기술자 등의 정보를 저장한다.
• $Upcase는 파일시스템에서 사용되는 모든 문자의 유니코드 대문자를 저장하고 있다.
• $Extend는 $ObjID, $Quota, $Reparse points, $UsnJrnl 등의 추가적인 파일의 정보를 기록하기 위해 사용된다.