SlideShare a Scribd company logo

(120107) #fitalk mft and indx slacks

INSIGHT FORENSIC
INSIGHT FORENSIC

2012 F-INSIGHT TALK

Technology
1 of 35
Download to read offline
FORENSICINSIGHT SEMINAR MFT & INDX Slack Analysis proneer proneer@gmail.com http://forensic-proof.com Security is a people problem
forensicinsight.org Page 2 / 50 개요 1. 슬랙 공간 2. MFT 슬랙 3. INDX 슬랙
forensicinsight.org Page 3 / 50 슬랙 공간
forensicinsight.org Page 4 / 35 슬랙 공간  슬랙 (Slack) • 물리적인 구조와 논리적인 구조의 차이로 발생하는 낭비되는 공간  램 슬랙  드라이브 슬랙  파일시스템 슬랙  볼륨 슬랙  MFT 슬랙  INDX 슬랙  … … 슬랙 소개
forensicinsight.org Page 5 / 35 슬랙 공간 램,드라이브,파일시스템,볼륨 슬랙 RAM Slack Drive Slack Cluster (2048 Bytes) used area wasted area sector 1 sector 2 sector 3 sector 4 File Slack Partition 1 Partition 2 Partition 3 Volume Slack cluster cluster cluster cluster … … cluster cluster cluster File System Slack
forensicinsight.org Page 6 / 50 MFT 슬랙
forensicinsight.org Page 7 / 35 MFT 슬랙 • NTFS는 파일, 디렉터리, 메타정보를 모두 파일 형태로 관리 • 각 파일의 위치, 속성, 시간정보, 이름, 크기 등의 메타정보는 MFT Entry라는 특별한 구조로 저장 • MFT(Master File Table)는 NTFS 상에 존재하는 모든 파일의 MFT Entry의 모음 • MFT 영역은 파일시스템 상의 파일 수에 따라 동적으로 할당 • 일반적으로 볼륨의 12.5% 정도가 MFT 영역으로 할당 • MFT Entry 0 ~ 15번은 파일시스템 생성 시 함께 생성되는 예약된(특별한 용도) 영역 MFT 구조 Volume Boot Record Master File Table Data Area Volume Boot Record Master File Table Data Area Master File Table Data Area
forensicinsight.org Page 8 / 35 MFT 슬랙 MFT 구조 VBR MFT Entry 0 MFT Entry 1 MFT Entry 2 : : MFT Entry 15 MFT Entry 16 : : Data Area 메타 데이터파일 Entry 번호 Entry 이름 설명 0 $MFT MFT에 대한 MFT Entry 1 $MFTMirr $MFT 파일의 일부 백업본 2 $LogFile 메타데이터(MFT)의 트랜잭션 저널 정보 3 $Volume 볼륨의 레이블, 식별자, 버전 등의 정보 4 $AttrDef 속성의 식별자, 이름, 크기 등의 정보 5 . 볼륨의 루트 디렉터리 6 $Bitmap 볼륨의 클러스터 할당 정보 7 $Boot 볼륨이 부팅 가능할 경우 부트 섹터 정보 8 $BadClus 배드 섹터를 가지는 클러스터 정보 9 $Secure 파일의 보안, 접근 제어와 관련된 정보 10 $Upcase 모든 유니코드 문자의 대문자 11 $Extend $ObjID, $Quota, $Reparse points, $UsnJrnl 등의 추가 적인 파일의 정보를 기록하기 위해 사용 12 – 15 미래를 위해 예약 16 - 포맷 후 생성되는 파일의 정보를 위해 사용 - $ObjId 파일 고유의 ID 정보 ( Windows 2000 - ) - $Quota 사용량 정보 ( Windows 2000 - ) - $Reparse Reparse Point 에 대한 정보 ( Windows 2000 - ) - $UsnJrnl 파일, 디렉터리의 변경 정보 ( Windows 2000 - )
forensicinsight.org Page 9 / 35 MFT 슬랙 MFT 레코드(엔트리) 0x0000 0x0400 MFT Entry Header Fixup Array Attributes End Marker Unused Space (Slack)
forensicinsight.org Page 10 / 35 MFT 슬랙 MFT 레코드(엔트리)  속성(Attributes) 속성 식별값 속성이름 설명 16 0x10 $STANDARD_INFORMATION 파일의 생성.접근.수정 시간, 소유자 등의 일반적인 정보 32 0x20 $ATTRIBUTE_LIST 추가적인 속성들의 리스트 48 0x30 $FILE_NAME 파일 이름(유니코드), 파일의 생성.접근.수정 시간 64 0x40 $VOLUME_VERSION 볼륨 정보 (Windows NT 1.2 버전에만 존재) 64 0x40 $OBJECT_ID 16바이트의 파일, 디렉터리의 고유 값, 3.0 이상에서만 존재 80 0x50 $SECURITY_DESCRIPTOR 파일의 접근 제어와 보안 속성 96 0x60 $VOLUME_NAME 볼륨 이름 112 0x70 $VOLUME_INFORMATION 파일 시스템의 버전과 다양한 플래그 128 0x80 $DATA 파일 내용 144 0x90 $INDEX_ROOT 인덱스 트리의 루트 노드 160 0xA0 $INDEX_ALLOCATION 인덱스 트리의 루트와 연결된 노드 176 0xB0 $BITMAP $MFT와 인덱스의 할당 정보 관리 192 0xC0 $SYMBOLIC_LINK 심볼릭 링크 정보 (Windows 2000+) 192 0xC0 $REPARSE_POINT 심볼릭 링크에서 사용하는 reparse point 정보 (Windows 2000+) 208 0xD0 $EA_INFORMATION OS/2 응용 프로그램과 호환성을 위해 사용 (HPFS) 224 0xE0 $EA OS/2 응용 프로그램과 호환성을 위해 사용 (HPFS) 256 0x100 $LOGGED_UTILITY_STREAM 암호화된 속성의 정보와 키 값 (Windows 2000+)
forensicinsight.org Page 11 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $DATA Resident Data (0 ~ 600 Bytes)
forensicinsight.org Page 12 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $DATA (500 Bytes) 600 Bytes 추가
forensicinsight.org Page 13 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker $STANDARD_INFORMATION $FILE_NAME $DATA ($DATA) Unused Space (Slack) DATA (1100 Bytes) Cluster
forensicinsight.org Page 14 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT ($INDEX_ALLOCATION) ($BITMAP)
forensicinsight.org Page 15 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT 파일 더 추가
forensicinsight.org Page 16 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION 파일 더 추가
forensicinsight.org Page 17 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION INDEX Records … … Cluster
forensicinsight.org Page 18 / 35 MFT 슬랙  일반 파일의 경우 • 파일의 내용  $DATA  디렉터리의 경우 • 디렉터리 내의 이전/삭제/현재 파일 목록  $INDEX_ALLOCATION MFT 슬랙 데이터
forensicinsight.org Page 19 / 50 INDX 슬랙
forensicinsight.org Page 20 / 35 INDX 슬랙  이진 트리 (Binary Tree) • 한 노드가 최대 2개의 자식 노드를 갖는 트리 • 노드의 왼쪽 하위트리의 모든 노드값은 키값보다 작음 • 노드의 오른쪽 하위트리의 모든 노드값은 키값보다 큼 인덱스 구조 7 5 22 3 11 15 7
forensicinsight.org Page 21 / 35 INDX 슬랙  B 트리 (B Tree) • 차수가 m인 m-원 탐색트리 • 루트와 단말 노드를 제외한 각 노드는 최소 m/2의 서브 트리를 가짐 (절반 이상이 채워져야 함) • 루트는 최소 2개의 서브 트리를 가짐 • 모든 단말 노드는 같은 레벨 인덱스 구조 10 18 30 35 503 8 9 15 20 21
forensicinsight.org Page 22 / 35 INDX 슬랙  빠르게 검색이 필요한 데이터는 인덱스 구조로 관리 (디렉터리 등) 인덱스 구조 인덱스 이름 인덱싱하는 데이터 위치 $I30 $FILE_NAME 속성 디렉터리의 MFT Entry $SDH Security Descriptors $Secure 메타데이터 파일 $SII Security ID $Secure 메타데이터 파일 $O Object ID $ObjId 메타데이터 파일 $O Owner ID $Quota 메타데이터 파일 $Q Quota $Quota 메타데이터 파일
forensicinsight.org Page 23 / 35 INDX 슬랙  $I30 (B-Tree) : B 트리의 노드값은 파일 이름 ($FILE_NAME 속성) 인덱스 구조 eee.txt lll.txt ttt.txt aaa.txt bbb.txt A B ooo.txt rrr.txt vvv.txt zzz.txt fff.txt ggg.txt iii.txt D C E Root Index Node
forensicinsight.org Page 24 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (1) 인덱스 구조 eee.txt lll.txt ttt.txt aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txt fff.txt ggg.txt iii.txt jjj.txt Root Index Node
forensicinsight.org Page 25 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (2) 인덱스 구조 eee.txt ggg.txt lll.txt ttt.txt aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txt fff.txt Root Index Node iii.txt jjj.txt
forensicinsight.org Page 26 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (3) 인덱스 구조 aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txtfff.txt iii.txt jjj.txt Root Index Nodeggg.txt eee.txt lll.txt ttt.txt
forensicinsight.org Page 27 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 $INDEX_ROOT Attribute $INDEX_ALLOCATION Attribute [eee.txt] MFT 20 [lll.txt] MFT 55 [ttt.txt] MFT 87 End of Node [aaa.txt] MFT 30 [bbb] DIR MFT 40 End of Node [ooo.txt] MFT 120 [rrr] DIR MFT 90 End of Node [vvv] DIR MFT 65 [zzz.txt] MFT 34 End of Node [fff.txt] MFT 72 [ggg.txt] MFT 73 [iii.txt] MFT 22 End of Node Index Record Header Index Node Header Index Entry 1 Index Entry 2 Index Entry 3 End of Node Unused Space Index Node $FILE_NAME Attribute $INDEX_ROOT Header
forensicinsight.org Page 28 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 $STANDARD_I NFORMATION $FILE_NAME $INDEX_ROOT (resident) $INDEX_ALLOCATION (non-resident) MFT Entry Index Record 0 1 2 Index Entry
forensicinsight.org Page 29 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 1 2 3 XA ) $INDEX_ROOT XB ) $INDEX_ROOT 1 2 3 4 … … 14 15 X Index Record 1 $INDEX_ALLOCATION 14 XC ) $INDEX_ROOT 1 2 3 4 … … 12 13 X 15 16 17 18 … … 24 25 X Index Record 1 $INDEX_ALLOCATION Index Record 2
forensicinsight.org Page 30 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 CCC.TXT MFT Entry : 57 Child VCN : 0 End of Node Child VCN : 4 Start LCN 1045 Start VCN 0 Len 8 03 00 00 … … …MFT Entry $INDEX_ROOT $INDEX_ALLOCATION $BITMAP AAA.TXT MFT Entry : 39 Child VCN : X BBB.TXT MFT Entry : 99 Child VCN : X End of Node DDD.TXT MFT Entry : 103 Child VCN : X EEEEEEEEEEEE.TXT MFT Entry : 321 Child VCN : X EEEEEE~1.TXT MFT Entry : 321 Child VCN : X End of Node Cluster 1045 VCN : 4 Index Record Header 삭제
forensicinsight.org Page 31 / 35 INDX 슬랙 인덱스 구조 0x0000 0x0400 MFT Entry Header Fixup Array End Marker $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION $INDEX_ALLOCATION Unused Space (Slack) … … Cluster Index Node Header Index Entry Index Entry Index Entry Index Entry Index Entry
forensicinsight.org Page 32 / 35 INDX 슬랙  $I30 • 디렉터리 내의 삭제된 파일 목록 INDX 슬랙 데이터
forensicinsight.org Page 33 / 50 그래서…?
forensicinsight.org Page 34 / 35 그래서…?  MFT 슬랙 분석 도구  $MFT 파일만 입력으로 받음 • MFT 레코드 분석 기능 • 전체 경로 출력 기능 ($FILE_NAME의 부모 파일 참조 주소 활용) • MFT 슬랙 출력 (하단 도킹 패인 활용)  파일 : 16진수 데이터 출력  디렉터리 : 각 파일의 $FILE_NAME 속성 출력 • 전체 MFT 슬랙 모음 기능  INDX 슬랙 분석 도구  활성 상태에서 분석 혹은 파일시스템 이미지 분석 • 각 디렉터리 별 슬랙에 존재하는 $FILE_NAME 속성 출력 • 디렉터리 경로를 옵션으로 받거나 전체 디렉터리의 슬랙 데이터를 csv로 출력 어쩌라고
forensicinsight.org Page 35 / 35 질문 및 답변

Recommended

(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발GangSeok Lee
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석INSIGHT FORENSIC
 

Recommended

(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법(140625) #fitalk sq lite 삭제된 레코드 복구 기법
(140625) #fitalk sq lite 삭제된 레코드 복구 기법INSIGHT FORENSIC
 
(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensics(130119) #fitalk sql server forensics
(130119) #fitalk sql server forensicsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)(150124) #fitalk advanced $usn jrnl forensics (korean)
(150124) #fitalk advanced $usn jrnl forensics (korean)INSIGHT FORENSIC
 
(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)(130202) #fitalk trends in d forensics (jan, 2013)
(130202) #fitalk trends in d forensics (jan, 2013)INSIGHT FORENSIC
 
(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석(140407) #fitalk d trace를 이용한 악성코드 동적 분석
(140407) #fitalk d trace를 이용한 악성코드 동적 분석INSIGHT FORENSIC
 
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to Win
[2011 CodeEngn Conference 05] 쿨캣 - virse program messge DOS to WinGangSeok Lee
 
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발
[2011 CodeEngn Conference 05] daly25 - 파일바이러스 분석 및 치료로직 개발GangSeok Lee
 
(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석(Fios#02) 7. 윈도우 10 포렌식 분석
(Fios#02) 7. 윈도우 10 포렌식 분석INSIGHT FORENSIC
 
Blago sa tavana
Blago sa tavanaBlago sa tavana
Blago sa tavanaLimundo
 
(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for fun(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for funINSIGHT FORENSIC
 
(120915) #fitalk digital times
(120915) #fitalk digital times(120915) #fitalk digital times
(120915) #fitalk digital timesINSIGHT FORENSIC
 
Sajak Mengintai Ruang Insaf
Sajak Mengintai Ruang InsafSajak Mengintai Ruang Insaf
Sajak Mengintai Ruang InsafAzwira Ariwana
 
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_kogaWww1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_kogaGRAND_GOUT
 
Hikayat Inderaputera
Hikayat InderaputeraHikayat Inderaputera
Hikayat InderaputeraAzwira Ariwana
 
Sajak Adat Sezaman
Sajak Adat SezamanSajak Adat Sezaman
Sajak Adat SezamanAzwira Ariwana
 
SwiftLint
SwiftLintSwiftLint
SwiftLintSyo Ikeda
 
Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出Yusaku Kawaguchi
 
Kata Sendi Nama
Kata Sendi NamaKata Sendi Nama
Kata Sendi NamaNur Ain Mohd. Amin
 
(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)INSIGHT FORENSIC
 
Ssscon forensic pt
Ssscon forensic ptSsscon forensic pt
Ssscon forensic pt윤아 황
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log fileINSIGHT FORENSIC
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log fileINSIGHT FORENSIC
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)INSIGHT FORENSIC
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)INSIGHT FORENSIC
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)INSIGHT FORENSIC
 
저장장치
저장장치저장장치
저장장치박 경민
 
리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리Seungyong Lee
 
망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13종인 전
 
sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스영빈 송
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 

More Related Content

Viewers also liked

Blago sa tavana
Blago sa tavanaBlago sa tavana
Blago sa tavanaLimundo
 
(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for fun(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for funINSIGHT FORENSIC
 
(120915) #fitalk digital times
(120915) #fitalk digital times(120915) #fitalk digital times
(120915) #fitalk digital timesINSIGHT FORENSIC
 
Sajak Mengintai Ruang Insaf
Sajak Mengintai Ruang InsafSajak Mengintai Ruang Insaf
Sajak Mengintai Ruang InsafAzwira Ariwana
 
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_kogaWww1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_kogaGRAND_GOUT
 
Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出Yusaku Kawaguchi
 

Viewers also liked (10)

Blago sa tavana
Blago sa tavanaBlago sa tavana
Blago sa tavana
 
(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for fun(120303) #fitalk ip finder and geo ip for fun
(120303) #fitalk ip finder and geo ip for fun
 
(120915) #fitalk digital times
(120915) #fitalk digital times(120915) #fitalk digital times
(120915) #fitalk digital times
 
Sajak Mengintai Ruang Insaf
Sajak Mengintai Ruang InsafSajak Mengintai Ruang Insaf
Sajak Mengintai Ruang Insaf
 
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_kogaWww1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
Www1 serbiancafe com_lat_diskusije_mesg_15_015802633_za_koga
 
Hikayat Inderaputera
Hikayat InderaputeraHikayat Inderaputera
Hikayat Inderaputera
 
Sajak Adat Sezaman
Sajak Adat SezamanSajak Adat Sezaman
Sajak Adat Sezaman
 
SwiftLint
SwiftLintSwiftLint
SwiftLint
 
Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出Nagoya.R #15 順位相関係数の信頼区間の算出
Nagoya.R #15 順位相関係数の信頼区間の算出
 
Kata Sendi Nama
Kata Sendi NamaKata Sendi Nama
Kata Sendi Nama
 

Similar to (120107) #fitalk mft and indx slacks

(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)INSIGHT FORENSIC
 
Ssscon forensic pt
Ssscon forensic ptSsscon forensic pt
Ssscon forensic pt윤아 황
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log fileINSIGHT FORENSIC
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log fileINSIGHT FORENSIC
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)INSIGHT FORENSIC
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)INSIGHT FORENSIC
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)INSIGHT FORENSIC
 
리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리Seungyong Lee
 
망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13종인 전
 
sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스영빈 송
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig baseINSIGHT FORENSIC
 
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...GangSeok Lee
 
Mongodb2.2와 2.4의 신 기능 소개
Mongodb2.2와 2.4의 신 기능 소개Mongodb2.2와 2.4의 신 기능 소개
Mongodb2.2와 2.4의 신 기능 소개흥배 최
 
UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제Lee Sang-Ho
 
caanoo Device driver
caanoo Device drivercaanoo Device driver
caanoo Device driverjumiss
 
망고100 보드로 놀아보자 14
망고100 보드로 놀아보자 14망고100 보드로 놀아보자 14
망고100 보드로 놀아보자 14종인 전
 
Linux Kernel 101 for Beginner
Linux Kernel 101 for BeginnerLinux Kernel 101 for Beginner
Linux Kernel 101 for BeginnerInfraEngineer
 

Similar to (120107) #fitalk mft and indx slacks (20)

(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)(130525) #fitalk ntfs log tracker (korean)
(130525) #fitalk ntfs log tracker (korean)
 
Ssscon forensic pt
Ssscon forensic ptSsscon forensic pt
Ssscon forensic pt
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file
 
(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file(120513) #fitalk a dig into the $log file
(120513) #fitalk a dig into the $log file
 
(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)(130316) #fitalk trends in d forensics (feb, 2013)
(130316) #fitalk trends in d forensics (feb, 2013)
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
 
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
(120804) #fitalk advanced mac os forensics (hfs+ filesystem)
 
저장장치
저장장치저장장치
저장장치
 
리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리리눅스 커널 기초 태스크관리
리눅스 커널 기초 태스크관리
 
망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13망고100 보드로 놀아보자 13
망고100 보드로 놀아보자 13
 
sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스sqlserver7.0 데이타베이스
sqlserver7.0 데이타베이스
 
(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base(130511) #fitalk utilization of ioc, ioaf and sig base
(130511) #fitalk utilization of ioc, ioaf and sig base
 
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
[2009 CodeEngn Conference 03] hkpco - DEFCON CTF 2009 Binary Leetness 100-500...
 
Mongodb2.2와 2.4의 신 기능 소개
Mongodb2.2와 2.4의 신 기능 소개Mongodb2.2와 2.4의 신 기능 소개
Mongodb2.2와 2.4의 신 기능 소개
 
UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제UNIX 시스템 2014-2018년 기말시험 기출문제
UNIX 시스템 2014-2018년 기말시험 기출문제
 
caanoo Device driver
caanoo Device drivercaanoo Device driver
caanoo Device driver
 
망고100 보드로 놀아보자 14
망고100 보드로 놀아보자 14망고100 보드로 놀아보자 14
망고100 보드로 놀아보자 14
 
Linux Kernel 101 for Beginner
Linux Kernel 101 for BeginnerLinux Kernel 101 for Beginner
Linux Kernel 101 for Beginner
 
Node.js at OKJSP
Node.js at OKJSPNode.js at OKJSP
Node.js at OKJSP
 
ice_grad
ice_gradice_grad
ice_grad
 

More from INSIGHT FORENSIC

(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensicsINSIGHT FORENSIC
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)INSIGHT FORENSIC
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fsINSIGHT FORENSIC
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trendINSIGHT FORENSIC
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안INSIGHT FORENSIC
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifactsINSIGHT FORENSIC
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식INSIGHT FORENSIC
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatchINSIGHT FORENSIC
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석INSIGHT FORENSIC
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysisINSIGHT FORENSIC
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur lsINSIGHT FORENSIC
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threatINSIGHT FORENSIC
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threatINSIGHT FORENSIC
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recoveryINSIGHT FORENSIC
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)INSIGHT FORENSIC
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in koreaINSIGHT FORENSIC
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memoryINSIGHT FORENSIC
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dumpINSIGHT FORENSIC
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropboxINSIGHT FORENSIC
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profileINSIGHT FORENSIC
 

More from INSIGHT FORENSIC (20)

(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics(160820) #fitalk fileless malware forensics
(160820) #fitalk fileless malware forensics
 
(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)(150124) #fitalk advanced $usn jrnl forensics (english)
(150124) #fitalk advanced $usn jrnl forensics (english)
 
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs(140118) #fitalk detection of anti-forensics artifacts using ioa fs
(140118) #fitalk detection of anti-forensics artifacts using ioa fs
 
(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend(140118) #fitalk 2013 e-discovery trend
(140118) #fitalk 2013 e-discovery trend
 
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
(141031) #fitalk plaso 슈퍼 타임라인 분석 도구 활용 방안
 
(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts(141031) #fitalk os x yosemite artifacts
(141031) #fitalk os x yosemite artifacts
 
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식(140716) #fitalk 전자금융사고에서의 디지털 포렌식
(140716) #fitalk 전자금융사고에서의 디지털 포렌식
 
(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch(140716) #fitalk digital evidence from android-based smartwatch
(140716) #fitalk digital evidence from android-based smartwatch
 
(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석(140625) #fitalk sq lite 소개와 구조 분석
(140625) #fitalk sq lite 소개와 구조 분석
 
(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis(130216) #fitalk reverse connection tool analysis
(130216) #fitalk reverse connection tool analysis
 
(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls(130216) #fitalk potentially malicious ur ls
(130216) #fitalk potentially malicious ur ls
 
(130202) #fitalk china threat
(130202) #fitalk china threat(130202) #fitalk china threat
(130202) #fitalk china threat
 
(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat(130119) #fitalk apt, cyber espionage threat
(130119) #fitalk apt, cyber espionage threat
 
(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery(130119) #fitalk all about physical data recovery
(130119) #fitalk all about physical data recovery
 
(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)(130105) #fitalk trends in d forensics (dec, 2012)
(130105) #fitalk trends in d forensics (dec, 2012)
 
(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea(130105) #fitalk criminal civil judicial procedure in korea
(130105) #fitalk criminal civil judicial procedure in korea
 
(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory(131116) #fitalk extracting user typing history on bash in mac os x memory
(131116) #fitalk extracting user typing history on bash in mac os x memory
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 
(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox(130928) #fitalk cloud storage forensics - dropbox
(130928) #fitalk cloud storage forensics - dropbox
 
(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile(130907) #fitalk generating volatility linux profile
(130907) #fitalk generating volatility linux profile
 

Recently uploaded

Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Wonjun Hwang
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료Softwide Security
 
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료Softwide Security
 
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdfssuserf8b8bd1
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'Hyundai Motor Group
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)Wonjun Hwang
 

Recently uploaded (6)

Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)Grid Layout (Kitworks Team Study 장현정 발표자료)
Grid Layout (Kitworks Team Study 장현정 발표자료)
 
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
오픈소스 위험 관리 및 공급망 보안 솔루션 'Checkmarx SCA' 소개자료
 
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
클라우드 애플리케이션 보안 플랫폼 'Checkmarx One' 소개자료
 
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
[OpenLAB] AWS reInvent를 통해 바라본 글로벌 Cloud 기술동향.pdf
 
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
도심 하늘에서 시속 200km로 비행할 수 있는 미래 항공 모빌리티 'S-A2'
 
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
파일 업로드(Kitworks Team Study 유현주 발표자료 240510)
 

(120107) #fitalk mft and indx slacks

  • 1. FORENSICINSIGHT SEMINAR MFT & INDX Slack Analysis proneer proneer@gmail.com http://forensic-proof.com Security is a people problem
  • 2. forensicinsight.org Page 2 / 50 개요 1. 슬랙 공간 2. MFT 슬랙 3. INDX 슬랙
  • 3. forensicinsight.org Page 3 / 50 슬랙 공간
  • 4. forensicinsight.org Page 4 / 35 슬랙 공간  슬랙 (Slack) • 물리적인 구조와 논리적인 구조의 차이로 발생하는 낭비되는 공간  램 슬랙  드라이브 슬랙  파일시스템 슬랙  볼륨 슬랙  MFT 슬랙  INDX 슬랙  … … 슬랙 소개
  • 5. forensicinsight.org Page 5 / 35 슬랙 공간 램,드라이브,파일시스템,볼륨 슬랙 RAM Slack Drive Slack Cluster (2048 Bytes) used area wasted area sector 1 sector 2 sector 3 sector 4 File Slack Partition 1 Partition 2 Partition 3 Volume Slack cluster cluster cluster cluster … … cluster cluster cluster File System Slack
  • 6. forensicinsight.org Page 6 / 50 MFT 슬랙
  • 7. forensicinsight.org Page 7 / 35 MFT 슬랙 • NTFS는 파일, 디렉터리, 메타정보를 모두 파일 형태로 관리 • 각 파일의 위치, 속성, 시간정보, 이름, 크기 등의 메타정보는 MFT Entry라는 특별한 구조로 저장 • MFT(Master File Table)는 NTFS 상에 존재하는 모든 파일의 MFT Entry의 모음 • MFT 영역은 파일시스템 상의 파일 수에 따라 동적으로 할당 • 일반적으로 볼륨의 12.5% 정도가 MFT 영역으로 할당 • MFT Entry 0 ~ 15번은 파일시스템 생성 시 함께 생성되는 예약된(특별한 용도) 영역 MFT 구조 Volume Boot Record Master File Table Data Area Volume Boot Record Master File Table Data Area Master File Table Data Area
  • 8. forensicinsight.org Page 8 / 35 MFT 슬랙 MFT 구조 VBR MFT Entry 0 MFT Entry 1 MFT Entry 2 : : MFT Entry 15 MFT Entry 16 : : Data Area 메타 데이터파일 Entry 번호 Entry 이름 설명 0 $MFT MFT에 대한 MFT Entry 1 $MFTMirr $MFT 파일의 일부 백업본 2 $LogFile 메타데이터(MFT)의 트랜잭션 저널 정보 3 $Volume 볼륨의 레이블, 식별자, 버전 등의 정보 4 $AttrDef 속성의 식별자, 이름, 크기 등의 정보 5 . 볼륨의 루트 디렉터리 6 $Bitmap 볼륨의 클러스터 할당 정보 7 $Boot 볼륨이 부팅 가능할 경우 부트 섹터 정보 8 $BadClus 배드 섹터를 가지는 클러스터 정보 9 $Secure 파일의 보안, 접근 제어와 관련된 정보 10 $Upcase 모든 유니코드 문자의 대문자 11 $Extend $ObjID, $Quota, $Reparse points, $UsnJrnl 등의 추가 적인 파일의 정보를 기록하기 위해 사용 12 – 15 미래를 위해 예약 16 - 포맷 후 생성되는 파일의 정보를 위해 사용 - $ObjId 파일 고유의 ID 정보 ( Windows 2000 - ) - $Quota 사용량 정보 ( Windows 2000 - ) - $Reparse Reparse Point 에 대한 정보 ( Windows 2000 - ) - $UsnJrnl 파일, 디렉터리의 변경 정보 ( Windows 2000 - )
  • 9. forensicinsight.org Page 9 / 35 MFT 슬랙 MFT 레코드(엔트리) 0x0000 0x0400 MFT Entry Header Fixup Array Attributes End Marker Unused Space (Slack)
  • 10. forensicinsight.org Page 10 / 35 MFT 슬랙 MFT 레코드(엔트리)  속성(Attributes) 속성 식별값 속성이름 설명 16 0x10 $STANDARD_INFORMATION 파일의 생성.접근.수정 시간, 소유자 등의 일반적인 정보 32 0x20 $ATTRIBUTE_LIST 추가적인 속성들의 리스트 48 0x30 $FILE_NAME 파일 이름(유니코드), 파일의 생성.접근.수정 시간 64 0x40 $VOLUME_VERSION 볼륨 정보 (Windows NT 1.2 버전에만 존재) 64 0x40 $OBJECT_ID 16바이트의 파일, 디렉터리의 고유 값, 3.0 이상에서만 존재 80 0x50 $SECURITY_DESCRIPTOR 파일의 접근 제어와 보안 속성 96 0x60 $VOLUME_NAME 볼륨 이름 112 0x70 $VOLUME_INFORMATION 파일 시스템의 버전과 다양한 플래그 128 0x80 $DATA 파일 내용 144 0x90 $INDEX_ROOT 인덱스 트리의 루트 노드 160 0xA0 $INDEX_ALLOCATION 인덱스 트리의 루트와 연결된 노드 176 0xB0 $BITMAP $MFT와 인덱스의 할당 정보 관리 192 0xC0 $SYMBOLIC_LINK 심볼릭 링크 정보 (Windows 2000+) 192 0xC0 $REPARSE_POINT 심볼릭 링크에서 사용하는 reparse point 정보 (Windows 2000+) 208 0xD0 $EA_INFORMATION OS/2 응용 프로그램과 호환성을 위해 사용 (HPFS) 224 0xE0 $EA OS/2 응용 프로그램과 호환성을 위해 사용 (HPFS) 256 0x100 $LOGGED_UTILITY_STREAM 암호화된 속성의 정보와 키 값 (Windows 2000+)
  • 11. forensicinsight.org Page 11 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $DATA Resident Data (0 ~ 600 Bytes)
  • 12. forensicinsight.org Page 12 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $DATA (500 Bytes) 600 Bytes 추가
  • 13. forensicinsight.org Page 13 / 35 MFT 슬랙 MFT 레코드(엔트리)  일반 파일 0x0000 0x0400 MFT Entry Header Fixup Array End Marker $STANDARD_INFORMATION $FILE_NAME $DATA ($DATA) Unused Space (Slack) DATA (1100 Bytes) Cluster
  • 14. forensicinsight.org Page 14 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT ($INDEX_ALLOCATION) ($BITMAP)
  • 15. forensicinsight.org Page 15 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT 파일 더 추가
  • 16. forensicinsight.org Page 16 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION 파일 더 추가
  • 17. forensicinsight.org Page 17 / 35 MFT 슬랙 MFT 레코드(엔트리)  디렉터리 0x0000 0x0400 MFT Entry Header Fixup Array End Marker Unused Space (Slack) $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION INDEX Records … … Cluster
  • 18. forensicinsight.org Page 18 / 35 MFT 슬랙  일반 파일의 경우 • 파일의 내용  $DATA  디렉터리의 경우 • 디렉터리 내의 이전/삭제/현재 파일 목록  $INDEX_ALLOCATION MFT 슬랙 데이터
  • 19. forensicinsight.org Page 19 / 50 INDX 슬랙
  • 20. forensicinsight.org Page 20 / 35 INDX 슬랙  이진 트리 (Binary Tree) • 한 노드가 최대 2개의 자식 노드를 갖는 트리 • 노드의 왼쪽 하위트리의 모든 노드값은 키값보다 작음 • 노드의 오른쪽 하위트리의 모든 노드값은 키값보다 큼 인덱스 구조 7 5 22 3 11 15 7
  • 21. forensicinsight.org Page 21 / 35 INDX 슬랙  B 트리 (B Tree) • 차수가 m인 m-원 탐색트리 • 루트와 단말 노드를 제외한 각 노드는 최소 m/2의 서브 트리를 가짐 (절반 이상이 채워져야 함) • 루트는 최소 2개의 서브 트리를 가짐 • 모든 단말 노드는 같은 레벨 인덱스 구조 10 18 30 35 503 8 9 15 20 21
  • 22. forensicinsight.org Page 22 / 35 INDX 슬랙  빠르게 검색이 필요한 데이터는 인덱스 구조로 관리 (디렉터리 등) 인덱스 구조 인덱스 이름 인덱싱하는 데이터 위치 $I30 $FILE_NAME 속성 디렉터리의 MFT Entry $SDH Security Descriptors $Secure 메타데이터 파일 $SII Security ID $Secure 메타데이터 파일 $O Object ID $ObjId 메타데이터 파일 $O Owner ID $Quota 메타데이터 파일 $Q Quota $Quota 메타데이터 파일
  • 23. forensicinsight.org Page 23 / 35 INDX 슬랙  $I30 (B-Tree) : B 트리의 노드값은 파일 이름 ($FILE_NAME 속성) 인덱스 구조 eee.txt lll.txt ttt.txt aaa.txt bbb.txt A B ooo.txt rrr.txt vvv.txt zzz.txt fff.txt ggg.txt iii.txt D C E Root Index Node
  • 24. forensicinsight.org Page 24 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (1) 인덱스 구조 eee.txt lll.txt ttt.txt aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txt fff.txt ggg.txt iii.txt jjj.txt Root Index Node
  • 25. forensicinsight.org Page 25 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (2) 인덱스 구조 eee.txt ggg.txt lll.txt ttt.txt aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txt fff.txt Root Index Node iii.txt jjj.txt
  • 26. forensicinsight.org Page 26 / 35 INDX 슬랙  $I30 (B-Tree) : jjj.txt 파일 삽입 (3) 인덱스 구조 aaa.txt bbb.txt ooo.txt rrr.txt vvv.txt zzz.txtfff.txt iii.txt jjj.txt Root Index Nodeggg.txt eee.txt lll.txt ttt.txt
  • 27. forensicinsight.org Page 27 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 $INDEX_ROOT Attribute $INDEX_ALLOCATION Attribute [eee.txt] MFT 20 [lll.txt] MFT 55 [ttt.txt] MFT 87 End of Node [aaa.txt] MFT 30 [bbb] DIR MFT 40 End of Node [ooo.txt] MFT 120 [rrr] DIR MFT 90 End of Node [vvv] DIR MFT 65 [zzz.txt] MFT 34 End of Node [fff.txt] MFT 72 [ggg.txt] MFT 73 [iii.txt] MFT 22 End of Node Index Record Header Index Node Header Index Entry 1 Index Entry 2 Index Entry 3 End of Node Unused Space Index Node $FILE_NAME Attribute $INDEX_ROOT Header
  • 28. forensicinsight.org Page 28 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 $STANDARD_I NFORMATION $FILE_NAME $INDEX_ROOT (resident) $INDEX_ALLOCATION (non-resident) MFT Entry Index Record 0 1 2 Index Entry
  • 29. forensicinsight.org Page 29 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 1 2 3 XA ) $INDEX_ROOT XB ) $INDEX_ROOT 1 2 3 4 … … 14 15 X Index Record 1 $INDEX_ALLOCATION 14 XC ) $INDEX_ROOT 1 2 3 4 … … 12 13 X 15 16 17 18 … … 24 25 X Index Record 1 $INDEX_ALLOCATION Index Record 2
  • 30. forensicinsight.org Page 30 / 35 INDX 슬랙  Non-Resident 인덱스 노드 인덱스 구조 CCC.TXT MFT Entry : 57 Child VCN : 0 End of Node Child VCN : 4 Start LCN 1045 Start VCN 0 Len 8 03 00 00 … … …MFT Entry $INDEX_ROOT $INDEX_ALLOCATION $BITMAP AAA.TXT MFT Entry : 39 Child VCN : X BBB.TXT MFT Entry : 99 Child VCN : X End of Node DDD.TXT MFT Entry : 103 Child VCN : X EEEEEEEEEEEE.TXT MFT Entry : 321 Child VCN : X EEEEEE~1.TXT MFT Entry : 321 Child VCN : X End of Node Cluster 1045 VCN : 4 Index Record Header 삭제
  • 31. forensicinsight.org Page 31 / 35 INDX 슬랙 인덱스 구조 0x0000 0x0400 MFT Entry Header Fixup Array End Marker $STANDARD_INFORMATION $FILE_NAME $INDEX_ROOT $INDEX_ALLOCATION $INDEX_ALLOCATION Unused Space (Slack) … … Cluster Index Node Header Index Entry Index Entry Index Entry Index Entry Index Entry
  • 32. forensicinsight.org Page 32 / 35 INDX 슬랙  $I30 • 디렉터리 내의 삭제된 파일 목록 INDX 슬랙 데이터
  • 33. forensicinsight.org Page 33 / 50 그래서…?
  • 34. forensicinsight.org Page 34 / 35 그래서…?  MFT 슬랙 분석 도구  $MFT 파일만 입력으로 받음 • MFT 레코드 분석 기능 • 전체 경로 출력 기능 ($FILE_NAME의 부모 파일 참조 주소 활용) • MFT 슬랙 출력 (하단 도킹 패인 활용)  파일 : 16진수 데이터 출력  디렉터리 : 각 파일의 $FILE_NAME 속성 출력 • 전체 MFT 슬랙 모음 기능  INDX 슬랙 분석 도구  활성 상태에서 분석 혹은 파일시스템 이미지 분석 • 각 디렉터리 별 슬랙에 존재하는 $FILE_NAME 속성 출력 • 디렉터리 경로를 옵션으로 받거나 전체 디렉터리의 슬랙 데이터를 csv로 출력 어쩌라고
  • 35. forensicinsight.org Page 35 / 35 질문 및 답변