시스템 포렌식 - 다운로드 기록 찾기

윈도우 포렌식 – 다운로드기록 찾기

▲ 하드디스크에서 삭제된 정보를 어떻게 찾아낼까?

- 실습환경 구성절차

FTK Imager - add attached devices - c:\의 root폴더

 

 

▲ MFT 파일과 LogFile 파일을 시간대별로 분석

- MFT(Master File Table) : 모든 파일 및 디렉토리의 정보

 

analyzeMFT -f $MFT –o mfg.csv

active : 현재 파일, inactive : 삭제 파일

- LogFile : 작업중인 파일의 복구를 위한 파일 생성/수정/삭제/변경 이력을 저장

- NTFS Log Tracker로 MFT, LogFile 불러와서 확인

 

 

어떤 파일을 삭제할때 윈도우에 삭제 기록도 사라지는지 궁금하다

 

 

 

winhex -> $MFT

 

 

여기서

Recover/Copy를 진행합니다.

 

 

 

 

analyzeMFT.exe랑 같은폴더에 둡니다.

 

 

 

 

 

 

 

그리고나서

 

analyzeMFT -f $MFT –o mfg.csv

이 명령어를 쳐주게 되면

 

mfg.csv라는 것이 나오게 됩니다.

 

이파일을 열어보게 되면

 

 

이렇게 엑셀 파일로 정리가되서 나오게됩니다.

 

이것이 백과사전같은데

 

 

여기서

 

active와 inactive가있는데

 

active가 지금 활성화되있는것이고

inactive는 삭제되있는것이다 active로 바꿔주면 다시 살아나고 그런거라고 생각하시면됩니다.

 

 

-===============================================

 

 

 

logfile

 

 

 

 

 

 

recover/copy를 진행합니다.

 

 

그리고나서

NTFS Log Tracker v1.6.exe로 실행을해서 거기안에서 분석을 진행하면됩니다.