윈도우 포렌식 도구 사용법 | NTFS Log Tracker

- NTFS의 $LogFile, $UsnJrnl, $MFT파일을 파싱해 CSV 파일포맷으로 결과를 출력하는 기능 제공

- 해당 파티션에 존재하는 파일들의 로그(생성, 수정, 파일명 변경, 삭제 등)를 분석 가능하게 함

 

▷ 사용방법

1) 다운로드·설치

밑의 링크로 들어가서 프로그램을 다운로드 후 설치한다.

code.google.com/archive/p/ntfs-log-tracker/downloads

 

설치 후 첫 화면

2) $LogFilem $UsnJrnl:$J, $MFT 파일 파싱

/[root]/$LogFile

/[root]/$MFT

/[root]/$Extend/$UsnJml:$J

위 경로를 따라 파일들을 추출해 넣어준다.

 

처음에 추출하면 안보임 → 한 번 더 추출하면 .copy0 가 붙으면서 보임

 

파싱을 하면 이벤트 발생시각, 이벤트명, 파일명, 경로 등을 확인해 볼 수 있다.