[Cresendo] MFT Problem 01

크레센도 그룹의 보안담당자 A씨는 최근 사내 기밀 문서 유출이의심되는 용의자 D씨의 컴퓨터를 확보했다. 그러나 이미 해당 PC에서 기밀 문서는 삭제 것으로 보인다.

주어진 파일로부터 다음의 정보를 획득하시오:

1. 기밀 문서로 추정되는 삭제된 파일 이름

2. 해당 파일의 삭제 추정 시간

답 포맷 : [1번 정답]_[2번 정답]

Ex: Confidential.docx_2016-01-22 17:22:11

문제 파일을 다운받으면 MFT 파일이 있다. $MFT 파일은 NTFS 내에 모든 파일이나 디렉터리 메타 정보를 담고 있고 

삭제한 파일에 대한 정보도 담고 있다. 분석을 위해 $MFT파일구조를 분석해주는 도구 analyzeMFT를 사용하면 된다.

[그림 1] analyzeMFT

사용 방법은 [그림 1]과 같다. cmd창에서 도구를 다운받은 경로로 이동한 뒤 analyzeMFT -f [MFT 파일 위치] -o [결과 파일 저장 위치]

형식으로 입력해주면 분석 결과를 csv형태로 확인할 수 있다.

[그림 2] result

정상적으로 분석이 완료되었으면 okidoki라는 메시지와 함께 지정해준 경로에 분석결과 파일이 생성된다.

[그림 3] result.csv

파일을 열어보면 수많은 파일의 대한 정보가 있고 활성 상태를 나타내는 Active 파일과 삭제된 파일을 나타내는 Inactive 파일이 있고 $STANDARD_INFORMATION, $FILENAME 각각의 mactime을 가지고 있다. 

문제에서 요구하는 내용은 삭제된 파일과 해당 파일의 삭제 추정시각이다. 먼저 Inactive 상태의 파일중에서 pdf,hwp,docx 등 문서와 관련된 확장자들을 살펴보고 기밀문서가 있는지 찾아보자.

[그림 4] 기밀문서 추정 파일

pdf로 검색하였을때 기밀문서로 추정되는 파일명을 가진 파일을 발견하였다. 파일명은 High Confidential_AlphaMikeFoxtrot.pdf 이고 

해당파일의 삭제시각은 엔트리 수정시각을 보면된다. 셀 서식을 바꾸어서 날짜를 확인한 결과 2016-10-23 19:44:37가 삭제시각이 된다.

답 포맷형식으로 바꾸면 High Confidential_AlphaMikeFoxtrot.pdf_2016-10-23 19:44:37 이다.