다이어그램의 세 번째 영역은 추출 옵션입니다. 어떤 옵션을 선택하든, 최소한 ntfswalk는 결과 파일을 생성합니다. 이 결과 파일에는 포렌식 분석에 필요한 메타데이터가 많이 포함됩니다. 보다 자세한 분석을 위해 (a) 각 파일의 헤더에 있는 바이트 또는 (b) 클러스터 실행 정보를 포함하여 결과에 추가 데이터를 추가할 수 있습니다. 파일의 내용을 물리적으로 추출하려면 아카이브 디렉터리뿐만 아니라 여유 데이터를 포함할지 여부를 지정할 수 있습니다. 파일 데이터를 추출하는 경우 ntfswalk는 파일의 MD5 해시를 계산하고 이 데이터에 대해서도 추가합니다. 리비아/libfsntfs의 새로운 릴리스에 대한 알림을 원하십니까? 위의 ntfswalk 흐름 다이어그램과 상관 관계가 있는 각 옵션에 대한 구문은 아래 그림에 나와 있습니다. 또한 이 그림은 다른 옵션과 함께 사용할 수 있는 옵션을 식별합니다. 따라서, 하나는 선택할 수 있습니다: (a) 하나의 입력 소스, (b) 필터의 없음 또는 임의의 조합, (c) 없음 또는 하나의 추출 옵션 및 (d) 출력 결과에 대한 하나의 형식 형식. 복사 작업 중에 루트 디렉터리 내의 다양한 하위 디렉터리가 자동으로 만들어 추출된 파일을 저장합니다. 하위 디렉터리에는 (a) 파생 된 사용자 계정, (b) 파일이 삭제되었는지 여부 및 (c) 파일이 전달되는 필터가 있습니다.

다음은 ntfswalk 명령을 기반으로 만든 디렉터리 계층 구조입니다: ntfswalk에는 여러 개의 명령줄 스위치가 있으며, 가끔 있는 사용자의 경우 어떤 옵션을 함께 사용할 수 있고 사용할 수 없는 옵션이 혼동될 수 있습니다. 다음은 인수없이 도구를 실행할 때 표시되는 메뉴 옵션의 스크린 샷입니다. ntfswalk는 지정된 NTFS 볼륨을 통과하는 명령줄로 모든 MFT 항목을 읽고 실행될 때 미리 정의된 통계를 끌어올 수 있습니다. 위의 예에서 ntfswalk는 모든 파일의 내용을 스캔하여 실행 파일인지 여부를 확인했습니다(확장명이 무엇인지와 무관) PE(또는 exe/dll의 16비트 버전) 서명이 있는 것으로 확인되면 내용의 MD5 해시를 계산했습니다. 당신이 상상할 수 있듯이,이 프로세스는 분석하는 볼륨의 크기에 따라 시간이 좀 걸립니다. ntfswalk에서 추출할 수 있는 다른 데이터에는 클러스터 정보가 포함됩니다. [-action_include_clusterinfo] 옵션을 사용하면 데이터가 포함된 각 특성에 사용할 수 있는 모든 클러스터 정보를 볼 수 있습니다. 다음은 샘플 출력의 스냅샷을 보여 주며 그림입니다.

Category : Uncategorized