eCDFP Module (5) File System Analysis (Part-6) (NTFS File System Analysis)
NTFS File System Analysis မှာ eCDFP ထဲက စာတွေပါသလို eCDFP ထဲမှာ မပါတဲ့ စာတွေလဲပါပါမယ်။ NTFS File System Analysis အကြောင်းကို ပိုမိုနားလည်စေရန်ဖြစ်ပါတယ်။
FAT File System မှာ ကန့်သတ်ချက်တွေနဲ့ အသုံးပြုတဲ့သူတွေ အနေနဲ့ လိုအပ်ချ က်တွေရှိတာဖြစ်တဲ့အတွက် New Technology File System (NTFS) ကို Microsoft က 1993 မှာ Window NT 3.1 ကနေစပြီး အသုံးပြုခဲ့ပါတယ်။
FAT File System လိုပဲ NTFS မှာလဲ Default Cluster Size တွေရှိပါတယ်။
လက်ရှိမှာ Window အသုံးပြုသူအများဆုံးရှိတဲ့အတွက် NTFS File Structure နဲ့ သူရဲ့အလုပ်လုပ်ပုံ ကိုသိရှိထားရင် Digital Forensics Analysis လုပ်ငန်းမှာများစွာ အသုံးဝင်မှာဖြစ်ပါတယ်။
အပေါ်ကပုံကတော့ FAT 32 File System ဆိုတာကိုမှတ်မိမယ်ထင်ပါတယ်။ NTFS File System မှာတော့ FAT File System လို FAT Area, Data Area တွေခွဲခြားထားခြင်းမရှိပါဘူး။ NTFS File System ထဲမှာပါသမျှကို File အဖြစ်သတ်မှတ်ပါတယ်။ NTFS System တစ်ခုလုံးကို Data Area အဖြစ်သတ် မှတ်နိုင်ပါတယ်။ NTFS File System ထဲမှာရှိတဲ့ File System Metadata File တွေက $ နဲ့စပါတယ်။ System Metadata File တွေကိုတော့ အသုံးပြုတဲ့သူကမတော်တဆဖျက်မိ၊ ပြင်မိမှာစိုးတဲ့အတွက် Hidden ပြုလုပ်ထားပါတယ်။ အောက်ကပုံကတော့ NTFS Storage ကို Disk Editor နဲ့ဖွင့်ထားတာဖြစ်ပါတယ်။
.png)
NTFS Structure
NFTS File System တစ်ခုလုံးဖြစ်လာဖို့အတွက် အခြား File တွေနဲ့ပေါင်းစပ်ထား ပါတယ်။ အဲဒီ File တွေအကုန်လုံးပေါင်းစပ်ပြီးကာမှ NTFS File System ဆိုပြီးဖြစ်လာတာပါ။ $ Sign နဲ့စတဲ့ File တွေဖြစ်ပါတယ်။ အဲဒီ File တွေကိုတော့ File System Metadata File လို့ခေါ်ပါတယ်။ အခုအချိန်မှာတော့ နည်းနည်းရှုပ်ထွေးမှာပါ။ အဲဒီ File တွေထဲမှာမှ အရေးအကြီးဆုံးက Master File Table (MFT) ($MFT) ဖြစ်ပါတယ်။ NTFS File System ရဲ့ Heart လို့သတ်မှတ်နိုင်ပါတယ်။
Master File Table (MFT) ($MFT) ထဲမှာ NTFS File System ထဲမှာရှိတဲ့ Files, Directories တိုင်းအတွက် MFT ထဲမှာ Entry (Record) ရှိပါတယ်။ Files, Directories တွေရဲ့ Entry (Record) က MFT ထဲမှာတစ်ခု ဒါမှမဟုတ် တစ်ခုထက်လဲပိုနိုင်ပါတယ်။ MFT ကလဲ File တစ်ခုဖြစ်တဲ့အတွက် Entry (Record) အနေနဲ့ပါဝင်ပါတယ်။ File Size အပေါ်မူတည်ပြီးတော့ Entry (Record) အရေအတွက် ကွာခြားနိုင်ပါတယ်။ $MFT ကိုဘယ်လိုဖြည်ကြည့်လို့ရတယ်ဆိုတာ ကျွန်တော်ရေးထားပြီးသားဖြစ်တဲ့ Digital Forensics With EZ-Tools ထဲမှာရှိပါတယ်။ MFTEcmd ကိုအသုံးပြုပြီး Entry (Record), Attributes တွေကိုကြည့်ကြည့်ပါမယ်။ NTFS File System က FAT File System ထက်ပိုမိုရှုပ်ထွေးပြီး စာတွေ့နဲ့လက်တွေ့ပေါင်းစပ်ပြီးလေ့လာရင် ပိုပြီးနားလည်မှာ ဖြစ်ပါတယ်။
.png)
MFT က NTFS File System မှာအရေးကြီးတဲ့ File တစ်ခုဖြစ်တာကြောင့် Fragmented မဖြစ်နိုင်အောင် Storage တစ်ခုကို NTFS File System အနေနဲ့ Format ပြုလုပ်လိုက်ရင် Storage ရဲ့ 12.5 % ကို MFT အတွက် Reversed ပြုလုပ်ထားပါတယ်။ $MFT ထဲမှာ File, Directories တွေကိုမှတ်သားထားတာကြောင့် File, Directories တွေများလာတဲ့ အခါမှာ $MFT Size ကလဲများလာမှာဖြစ်ပါတယ်။ နောက်ထပ်တိုးလာနိုင်မဲ့ $MFT Size အတွက် Reversed အနေနဲ့ထားတာဖြစ်ပါတယ်။ အဲဒါကို MFT Zone လို့ခေါ်ပါတယ်။ MFT Zone ကိုလုပ်အပ်သလို 25%, 37.5% 50% ဆိုပြီး လိုအပ်သလိုသတ်မှတ်နိုင်ပါတယ်။ ပုံကတော့ NTFS File System အနေနဲ့ အသုံးပြုတဲ့အခါမှာ MFT Zone အနေနဲ့ Reserved ဖြစ်သွားတာကိုပြသတာဖြစ်ပါတယ်။
အောက်ကပုံက Main NTFS Metadata Files တွေကိုဖော်ပြထားတာဖြစ်ပါတယ်။
REF Photo NFTS.COM
Comments