“MFT”는 여러 컨텍스트에서 다양한 의미를 가질 수 있지만, 컴퓨터 과학과 디지털 포렌식 분야에서는 “Master File Table”을 가리키는 경우가 많습니다. Windows NTFS (New Technology File System)에서 사용되는 MFT는 파일 시스템의 중심이 되는 데이터베이스로, 파일과 폴더에 대한 모든 정보를 포함하고 있습니다. MFT 분석은 디지털 조사, 데이터 복구, 시스템 모니터링 등 여러 목적으로 활용될 수 있습니다. MFT를 분석하는 과정은 다소 복잡할 수 있으나, 기본적으로 다음 단계로 요약할 수 있습니다.
- MFT의 이해
MFT의 구조: MFT는 파일과 폴더의 메타데이터를 저장하는 레코드의 집합입니다. 각 레코드는 파일 이름, 생성 날짜, 수정 날짜, 파일 크기 등의 정보를 포함하며, 파일의 실제 내용은 레코드와 별도로 디스크의 다른 위치에 저장됩니다.
주요 속성: MFT의 레코드에는 다양한 속성이 포함될 수 있으며, 이 중 일부는 파일의 내용을 직접 포함할 수도 있습니다($DATA 속성). 다른 중요한 속성으로는 $FILENAME, $STANDARD_INFORMATION, $ATTRIBUTE_LIST 등이 있습니다.
- MFT 추출 및 접근
추출: MFT는 일반적으로 시스템이 사용 중일 때 직접 접근이 제한될 수 있으므로, 디지털 포렌식 툴을 사용해 복사본을 추출하는 것이 일반적입니다. dd 같은 디스크 이미징 툴을 사용하여 NTFS 파티션의 복사본을 만들거나, 특정 툴을 사용하여 MFT만을 별도로 추출할 수 있습니다.
접근: 추출된 MFT 파일은 특정 분석 도구를 사용하여 열랍니다. 여러 상용 및 오픈소스 도구들이 MFT 분석 기능을 제공합니다.
- 분석 도구 사용
도구 선택: Autopsy, EnCase, FTK, MFTExplorer, NTFSWalker 등 다양한 도구들이 MFT 분석을 지원합니다. 이들 도구는 MFT 레코드의 메타데이터를 해석하여 사용자가 쉽게 정보를 볼 수 있도록 해줍니다.
분석 실행: 도구에 따라, MFT 레코드의 리스트를 제공하고, 각 레코드를 클릭할 때마다 해당 파일 또는 폴더에 대한 상세 정보를 표시할 수 있습니다. 사용자는 이 정보를 사용하여 파일 생성, 수정, 삭제 시각 등을 확인하거나, 특정 시점의 파일 시스템 상태를 복원할 수 있습니다.
- 데이터 해석
시간선 분석: 파일의 생성, 수정, 접근 시간(timestamp)을 분석하여 시간 순서에 따른 파일 시스템의 변경 사항을 추적할 수 있습니다.
삭제된 파일 복구: MFT 레코드는 파일이 삭제되어도 일정 기간 보존되므로, 삭제된 파일에 대한 정보를 복구하고 파일 자체를 복구하는 데 사용될 수 있습니다.
- 고급 분석
조각 모음과 파일 추적: 파일이 디스크 상의 여러 위치에 조각나서 저장되었을 경우, MFT의 정보를 사용하여 이 조각들을 찾고 원본 파일을 재구성할 수 있습니다.
안티 포렌식 기법 탐지: 일부 악의적 사용자는 MFT를 조작하여 디지털 조사를 방해할 수 있습니다. 이러한 조작을 탐지하고 분석하는 것도 MFT 분석의 중요한 부분입니다.
MFT 분석은 기술적 지식을 요구하는 과정이며, 정확한 결과를 얻기 위해서는 파일 시스템과 디지털 포렌식 분야에 대한 깊은 이해가 필요합니다. 따라서, 전문 교육과 실습을 통해 이 분야의 지식과 기술을 습득하는 것이 중요합니다.
