-
드라이브 내 파일 탐색
연재 순서 첫번째 글: NTFS 파일 시스템 두번째 글: NTFS 파일 시스템 partition data 1 세번째 글: NTFS 파일 시스템 partition data 2 네번째 글: 드라이브 내 파일 탐색 1. 드라이브 내 파일 위치 탐색 앞서 2장에서는 드라이브 내 Root Directory에 접근하는 방법을 확인하였다. Root Directory는 아래의 과정을 통해 접근할 수 있다. ① HDD에 접근 ② LBA 1에서 기본 정보들 확인, LBA 2 ~ 33중 원하는 Partition 확인 후 해당 위치로 이동 (Number of Partition...
-
NTFS 파일 시스템 partition data 2
연재 순서 첫번째 글: NTFS 파일 시스템 두번째 글: NTFS 파일 시스템 partition data 1 세번째 글: NTFS 파일 시스템 partition data 2 네번째 글: 드라이브 내 파일 탐색 1.1. $MFT 탐색 위의 정보들을 활용하여 $MFT에 할당된 cluster를 확인해볼 수 있다. 그러기 위해 우선 헤더를 분석하고, 그 다음 내부의 Attribute 들의 정보를 확인해야 한다. Header에 FixUp이 있는 부분들은 우선적으로 FixUp을 통해 무결성을 확인하고 값을 교환해 준 다음, 다른 부분들을 확인해야 한다. 1.2 FixUp 수행 방법...
-
NTFS 파일 시스템 partition data 1
연재 순서 첫번째 글: NTFS 파일 시스템 두번째 글: NTFS 파일 시스템 partition data 1 세번째 글: NTFS 파일 시스템 partition data 2 네번째 글: 드라이브 내 파일 탐색 1. 파티션에 저장된 파일 정보 각 파티션마다 별도의 시스템을 사용할 수 있다. 현재 사용중인 컴퓨터는 윈도우 10 Pro 인데, 내부 Partition 중 하나는 FAT 시스템을 사용중이다. 아래의 <그림 2-1>에는 OEM Name이 NTFS가 아니라 MSDOS라고 표시되어 있는 것을 통해 FAT 시스템으로 설정된 것을 확인 할 수 있다....
-
NTFS 파일 시스템
연재 순서 첫번째 글: NTFS 파일 시스템 두번째 글: NTFS 파일 시스템 partition data 1 세번째 글: NTFS 파일 시스템 partition data 2 네번째 글: 드라이브 내 파일 탐색 1. 분석 목적 NTFS 시스템의 특징을 이해하여 데이터 복제 및 복원을 가능하게 한다. 그리고 이를 확인 하기 위해 사용한 프로그램이나 함수들을 설명한다. 2. NTFS File System NTFS 파일 시스템은 Windows NT에서 최초로 지원된 파일 시스템으로, FAT를 대체하기 위해 새롭게 개발된 파일 시스템이다. NTFS는 New Technology File...
-
그래프DB(Neo4j)를 활용한 프로세스 행위 로그 시각화 방법 - 소개
안녕하세요. 이번 블로그 내용은 프로세스 행위 로그 분석을 위해 수집된 로그 데이터를 대상으로 그 특성을 파악하기 위한 시각화 방법 중 그래프DB를 활용한 방법을 소개해 드리고자 합니다. 1. 개요 프로세스 행위 로그는 실시간 I/O 모니터링을 통해 추출한 원시 로그 데이터로 서로 복잡하게 연결되어 있어 하나의 프로세스가 다른 프로세스와 어떤 연관성이 있는지 파악하기 어렵기 때문에 그래프DB를 활용하여 프로세스 간 관계를 시각화하여 데이터 특성을 파악해 보고자 합니다. 아래의 그림은 프로세스 익스플로러1의 실행 모습으로 프로세스 행위 로그에서 다루고 있는...