$MTF, $LogFile, $UsnJrnl, .LNK, Jumplist
해당 포스트는 Windows 포렌식에서의 $MFT, $LogFile, $UsnJrnl, .lnk, Jumplist에 대한 이론적인 부분에 대한 내용입니다.1. $MFTMFT(Master File Table)NTFS 파일시스템에서 파일, 디렉터리를 관리하기 위한 구조하나의 파일당 하나의 MFT 엔트리를 가진다.$MFT란 MFT 엔트리들의 집합MFT 엔트리파일의 이름, 생성, 수정, 변경시간, 크기, 속성 등을 가지고 있다.파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있다.2. $MFT 확인 실습윈도우 내에 $MFT를 추출해주어야 한다.FTK Imager 관리자 권한으로 실행 > 좌측 상단 ADD Evidence Item > Logical Device > \C > Finish 바탕화면에 MFT라는..
Forensic/Artifact
2024. 5. 2. 21:19