Test

#About

주어진 파일 시스템 로그를 분석하여 시스템에서 "Everything-1.3.4.686.x86.Multilingual-Setup.exe"가 생성된 시각을 찾으시오

해당 시스템은 UTC+9 시간대를 사용한다.

(YYYY-MM-DD HH:MM:SS 형식으로 입력, UTC +09:00 기준, 띄어쓰기 준수)

#Solution

[그림 1] - 문제 파일 확인

문제에서 제공 받은 파일은 시스템 파일이므로 위와 같이 확인하기 위해선 폴더 옵션에서 옵션의 변경을 진행해 주어야한다

[그림 2] - 폴더 옵션 변경

옵션을 변경해준 뒤, NTFS 파일 시스템 분석 도구인 NTFS Log Tracker을 사용했으며 버전은 1.41에 해당하고 도구의 출처는 아래링크를 참조하길 바란다

https://sites.google.com/site/forensicnote/ntfs-log-tracker

[그림 3] - 파싱 결과 출력

Logfile, UsnJnrl, MFT 파일의 경로를 지정해준 뒤 Parse를 누르게 되면 결과가 파싱되어 출력되고 간편하게 보기위해 CSV 파일로 아래와 같이 추출했다

[그림 4] - csv 출력 결과 파일

csv로 추출했을 때 LogFile과 UsnJnrl 파싱되어 결과 값으로 저장되었으며 Logfile.csv 파일을 살펴보았다

$Logfile은 시스템 오류나 갑작스런 전원 차단 발생시, 작업 중이던 파일 복구를 위해 사용되며 모든 트랜잭션 작업을 레코드 단위로 기록하며

기록되는 정보는 새로운 파일/디렉터리 생성, 삭제, 변경, MFT 엔트리 내용 변경 등이 기록되고 자세한 사항은 아래 링크를 참조하길 바란다

http://forensicinsight.org/wp-content/uploads/2012/05/INSIGHT_A-Dig-into-the-LogFile.pdf

[그림 5] - Logfile.csv 확인

기록된 레코드의 수는 24,676개로 일일이 살펴볼 수 없으므로 검색을 통해 문제에서 요구하는 파일인 "Everything-1.3.4.686.x86.Multilingual-Setup.exe"을 

찾을 수 있었으며 시간 생성 시각 또한 확인할 수 있었다

[그림 6] - Everything-1.3.4.686.x86.Multilingual-Setup.exe의 생성 시각 확인

Answer = 2016-10-13 23:42:29