$MFT 개념 및 실습

윈도우즈의 전반적인 구조를 알 수있는 Artifacts

​

MTF (Master File Table)

• NTFS 파일 시스템에서 파일,디렉터리를 관리하기 위한 구조
• 하나의 파일당 하나의 MFT 엔트리를 가짐
• $MFT란 MFT엔트리들의 집합

​

MFT 엔트리

• 파일의 이름, 생성 / 수정 / 변경시간, 크기, 속성 등을 가지고 있음
• 파일의 디스크 내부 위치, 파일의 시스템 경로를 알 수 있음

​

$MFT Practice

ftk imager 이용

• [root]\$MFT 추출

​

MFTExplorer 다운로드

https://ericzimmerman.github.io/#index.md

​

ftk imager을 열고 add evidence - logical - c드라이브를 선택한다.

그 후 c드라이브아래 root로 들어간다.

$MFT 파일을 발견하면 mft파일에 export files 해준다.

이후 mft explorer에서 해당 파일을 열어준다.

​

​

Mft Explorer은 ftk imager에 비해 지원되는 tool들이 많고

HEX값도 볼 수 있으며

standard info 나 file name, index root처럼

mft엔트리에서 얻을 수 있는 정보들을 뽑아주기 때문에 조금 더 구체적인 내용을 살펴볼 수 있다.