2021. 5. 8. 12:18ㆍcrescendo
이번에 풀 문제는 NTFS Log 문제이다.
Everythin-~~ 의 생성 시각을 찾으라고 한다.
압축을 해제하면 MFT 파일이 보인다.
MFT 파일은 NTFS 내에 모든 파일, meta data, 삭제파일에 대한 정보를 담고있다. 따라서 이 파일을 분석해보아야 한다.
참고로 압축을 풀면 이 폴도는 비어 있습니다. 라고 나올텐데 cmd 창에서 dir a/ 를 치면 확인할 수 있다.
이제 이 파일을 우리가 읽을 수 있는 형태로 변환시켜야 할것이다.
kkoha.tistory.com/entry/analyzeMFT-204
analyzeMFT 2.0.4
NTFS MFT 엔트리 소개 : http://forensic-proof.com/archives/470 NTFS MFT 구조 소개 : http://forensic-proof.com/archives/584 원본 소스 : https://github.com/dkovar/analyzeMFT MFT 분석할 일이 생겨 ..
kkoha.tistory.com
인터넷에 검색해보니 analyzeMFT 2.0.4 라는 파일을 다운받을 수 있었다. 기존에 툴과는 다르게 문자 오류가 나는것을 어떤분이 고치셧다고 한다.
analyzeMFT 는 MFT의 내용을 파싱해주는 툴이라고 생각하면 된다.(필요한 부분만)
아무튼 이 툴을 사용해서 csv 파일을 추출한다.
파일을 보면 시간의 상태가 이상하다. 셀 서식을 바꿔주도록 하자..
저 시간에서 UTC + 09:00 이라 했으니 정답은 2016-10-13 23:42:29 가 될것이다.
'crescendo' 카테고리의 다른 글
| crescendo LNK Probelm 01 (0) | 2021.05.08 |
|---|---|
| crescendo 오늘은 국군의 날 (0) | 2021.05.08 |
| crescendo Event Log Problem 03 (0) | 2021.05.08 |
| crescendo Event Log Problem 02 (0) | 2021.05.06 |
| crescendo Event Log Problem 01 (0) | 2021.05.06 |