Digital Forensics Tool Testing Images : 디지털 포렌식 도구 테스트 이미지(#3)

http://dftt.sourceforge.net/test3/index.html

NTFS Keyword Search Test #1

NTFS Keyword Search #1

 NTFS의 고유한 기능을 테스트하기위해 만들어진 문제입니다.

NTFS는 윈도우 NT 계열 운영체제의 파일 시스템입니다.

저는 Accessdata회사의 FTK imager 프로그램을 이용해서 실습을 진행하였습니다.

1번문제:단어r-alloc 섹터1342 오프셋83 파일이름$LogFile 설명Log File Entry
         

단어r-alloc 섹터5409 오프셋347 파일이름file-r-1.dat 설명Resident allocated file

2번문제:단어r-unalloc 섹터1350 오프셋92 파일이름$LogFile 설명Log File Entry #1

           단어r-unalloc 섹터1915 오프셋156 파일이름$LogFile 설명Log File Entry #2

단어r-unalloc 섹터5423 오프셋380 파일이름file-r-2.dat (deleted) 설명Resident unallocated file

3번문제:단어r-fads 섹터1391 오프셋43 파일이름$LogFile 설명Log File Entry

           단어r-fads 섹터5414 오프셋331 파일이름file-r-3.dat:here

설명Resident alternate data stream in an allocated file

4번문제:단어r-dads 섹터1528 오프셋258 파일이름$LogFile 설명Log File Entry
         

단어r-dads 섹터5415 오프셋346 파일이름dir-r-4:there

           설명Resident alternate data stream in an allocated directory

5번문제:단어n-alloc 섹터8050 오프셋161 파일이름file-n-1.dat 설명Non-resident allocated file

6번문제:단어n-unalloc 섹터8053 오프셋86 파일이름file-n-2.dat (deleted) 설명Non-resident unallocated file

삭제되어서 파일 이름이 없고 clus값으로 file-n-2.dat과 file-n-3.dat 사이의 값을 찾아 확인하였습니다.

7번문제:단어n-frag 섹터8059 오프셋509 파일이름file-n-3.dat

           설명Crosses fragmented clusters in a non-resident allocated file

8번문제:단어n-slack 섹터8062 오프셋485 파일이름file-n-4.dat 설명Slack space of a non-resident allocated file

9번문제:단어n-fads 섹터8067 오프셋370 파일이름file-n-5.dat:here

           설명Non-resident alternate data stream in an allocated file

10번문제:단어n-dads 섹터8068 오프셋314 파일이름dir-n-6:there

           설명Non-resident alternate data stream in an allocated directory