[Cresendo] NTFS Log 1

주어진 파일 시스템 로그를 분석하여 시스템에서 “Everything-1.3.4.686.x86.Multilingual-Setup.exe”가 생성된 시각을 찾으시오

해당 시스템은 UTC+9 시간대를 사용한다.

(YYYY-MM-DD HH:MM:SS 형식으로 입력, UTC +09:00 기준, 띄어쓰기 준수)

[그림 1] LOG

문제를 받아 압축을 풀면 파일시스템 로그 3개를 확인할 수 있다. 안보일 경우 숨김폴더 옵션을 해제하거나 FTK Imager로 확인하면 된다.

$J	응용 프로그램의 특정파일 변경 여부 확인
$LogFile	작업중이던 파일 복구를 위해 사용
$MFT	모든 파일 및 디렉터리의 메타데이터를 담고 있음

[표 1] 파일시스템 로그

각 파일시스템 로그의 특징은 [표 1]과 같다. 각 로그의 상세한 정보는 Blueangel님께서 작성하신 자료를 참조하시길 바란다.

각 로그를 분석은 NTFS Log Tracker를 사용하면 분석한 내용을 SQLite DB파일형태로 저장하여 볼 수 있다.

[그림 2] NTFS Log Tracker

도구를 실행시킨 뒤 $LogFile, $J, $MFT 각각의 경로를 지정해준 뒤 Parse를 누르면 각 로그에 대한 분석이 진행된다.

[그림 3] SQLite DB 파일 저장

parse를 진행하면 결과를 SQLite DB 형태로 파일명과 경로를 지정해주면 받을 수 있다. 도구 자체기능으로 분석결과 시각화와 search 기능을 제공하지만 편하게 보기위해 SQLite로 Everything-1.3.4.686.x86.Multilingual-Setup.exe 파일명을 검색해보았다.

[그림 4] SQLite DB

2016-10-13 23:42:29초에 Everything-1.3.4.686.x86.Multilingual-Setup.exe 파일 생성 이벤트가 발생하였다. 문제에서 요구하는 시간은 파일 생성 시간이기 때문에 키값은 2016-10-13 23:42:29 이다.