초록
이 연구는 NTFS 파일시스템에서 디스크의 에러를 복구를 위해 사용하는 저널링 파일($LogFile)에 기록되어 있는 로그 레코드들을 컴퓨터포렌식에 활용하는 방법에 관한 것이다. $LogFile에는 파일 연산의 과정을 그대로 담고 있어서 포렌식의 관점에서는 증거의 보고이다. 그러나 이 구조는 완전하게 공개되어 있지 않아서 구조를 정확히 알고 있지 않다는 어려움이 있다. 이 연구에서는 로그레코드들 기록된 주소 영역에 대해서 역공학적 방법으로 주소 데이터의 구조를 명확히 밝히고 로그레코드마다 그에 관련된 대상 파일이 어떤 것인지 분석하여 포렌식 대상 파일을 식별하고 포렌식 정보를 취득에 활용한다.
The NTFS journaling file($LogFile) is used to keep the file system clean in the event of a system crash or power failure. The operation on files leaves large amounts of information in the $LogFile. Despite the importance of a journal file as a forensic evidence repository, its structure is not well documented. The researchers used reverse engineering in order to gain a better understanding of the log record structures of address parts, and utilized the address for identifying object files to gain forensic information.