analyzeMFT - $MFT 분석

침해사고 포렌식 현장에서 분석 대상인 하드의 이미지를 생성하지 못하여 파일 분석이 어려운 경우가 발생할 수 있다. 예를 들어 하드의 용량이 너무 크다던가 하드 타입이 레이드로 구성되어 있다던가 하는 경우에는 쉽에 이미징 작업을 수행할 수 없을 것이다.

이런한 경우 제한적이나마 NTFS 파일 시스템을 사용하는 경우라면 $MFT 파일만을 수집하여 해당 드라이버의 파일과 폴더 구조를 분석할 수 있으며, 특히 삭제된 파일과 폴더를 확인할 수 있다는 장점도 있다. 여기서 발견된 의심항목(파일과 폴더) 만을 수집함으로써 제한적 환경에서 최대의 효과를 얻을 수 있다고 판단한다.

우선 $MFT 는 WinHex 를 이용해서 쉽게 수집할 수 있다. WinHex 를 실행한 후 Tools->Open Disk (F9) 를 실행하여 원하는 하드 디스크를 선택한다. 여기서는 물리적 하드디스크 이나 논리적 드라이브 어느 것을 선택해도 상관없다. WinHex 에서 NTFS 를 분석하여 윈도우 탐색기와 같이 보여줄 것이고, 여기에 나타난 $MFT 를 선택하여 복하하면 된다.

[그림 1] WinHex 로 $MFT 파일 복사하기

수집한 이후에는 $MFT 를 분석하는 툴에 입력으로 넣어주기만 하면 된다.

$MFT 분석 도구로는 analyzeMFT 가 있다. 파이선(Python) 파일과 윈도우 실행파일 두 가지를 제공하고 있으니 원하는 프로그램을 받아서 사용하면 되겠다. 제작자가 블로그를 운영하는데 꾸준히 좋은 정보들로 업데이트 하고 있으니 참고할만하다.

D:\Program Files\analyzeMFT>analyzeMFT.exe -f D:\Work\$MFT -o D:\Work\result.csv

위와 같은 명령으로 csv 파일을 만들었을 경우 나타나는 항목은 다음과 같다.

"Record Number","Good","Active","Record type","Parent Folder","Record Sequence","Filename #1","Std Info Creation date","Std Info Modification date","Std Info Access date","Std Info Entry date","FN Info Creation date","FN Info Modification date","FN Info Access date","FN Info Entry date","Object ID","Birth Volume ID","Birth Object ID","Birth Domain ID","Filename #2","FN Info Creation date","FN Info Modify date","FN Info Access date","FN Info Entry date","Filename #3","FN Info Creation date","FN Info Modify date","FN Info Access date","FN Info Entry date","Filename #4","FN Info Creation date","FN Info Modify date","FN Info Access date","FN Info Entry date","Standard Information","Attribute List","Filename","Object ID","Volume Name","Volume Info","Data","Index Root","Index Allocation","Bitmap","Reparse Point","EA Information","EA","Property Set","Logged Utility Stream"

참고로, analyzeMFT 는 위에서 나열한 항목에서와 같이 삭제된 데이터를 구분해주지는 않는다.