eCDFP Module (5) File System Analysis (Part-11) (NTFS File System Analysis)

Alternative Data Stream (ADS) 

 NTFS File System မှာ one $DATA Attribute မှာတစ်ခုထပ်ပိုပြီးရှိနိုင်ပါတယ်။ အဲဒါကတော့ Alternative Data Stream (ADS) ပဲဖြစ်ပါတယ်။ ADS ကို Data Hiding ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုပါတယ်။ 

အခုဆိုရင် DFM.TXT File အတွက် နောက်ထပ်  $DATA Attribute တစ်ခုကိုပြုလုပ်လို့ပြီးပါပြီး။ 

သာမန်ကြည့်ရင် DFM.TXT File ကိုပဲမြင်ရမှာ ဖြစ်ပြီး  DFM.TXT File ထဲမှာ Hidden ဖြစ်နေတဲ့  File.TXT File ကိုမြင်ရမှာ မဟုတ်ပါဘူး။ ADS ကိုမြင်ဖို့အတွက် အောက်မှာပြထားတဲ့ Command ကိုအသုံးပြုပြီးကြည့်နိုင်သလို။ Disk Editor တွေနဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ Forensics Tools တွေမှာတော့ ADS ကိုရှာဖွေပြီးဖော်ပြပေးပါတယ်။ 

ADS File ကို အောက်ပါအတိုင်း Disk Editor နဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ နောက်တစ်နည်းကတော့ ADS File ကို FAT File System ရှိတဲ့ Storage ထဲကိုထည့်ပြီး ဖွင့်ကြည့်တာဖြစ်ပါတယ်။ ADS က  NTFS File System မှာသာ အလုပ်လုပ်ပါတယ်။ 

File  And RAM SLACK 

Storage  ပေါ်မှာ Data တွေကို သိမ်းဆည်းတဲ့အခါမှာ File Size အရ  Disk Space (Storage)  လိုအပ်လာရင် Operating System က  လိုအပ်တဲ့ File Size ပမာဏအရ Cluster တွေကိုတိုးပေးပါတယ်။ 

Cluster Size  က  4KB ရှိပြီး ထပ်ပြီးလိုအပ်တဲ့ ပမာဏက  1 Or 2 bytes ဖြစ်နေရင်တောင် Cluster တစ်ခုထပ်ပြီးတိုးပေးရတဲ့အတွက် File Slack တွေ RAM Slack တွေဖြစ်လာပါတယ်။  

File Slack 

File က Cluster ပေါ်မှာနေရာယူထားပေမဲ့ File Size အရ Cluster ထဲမှာ အဲဒီ File မသုံးတဲ့ နေရာလွတ်တွေတစ်နည်းအားဖြင့် Cluster ထဲမှာလွတ်နေတဲ့ Sector တွေကို File Slack လို့ခေါ်ပါတယ်။ စာအနေနဲ့ ရှုပ်ကောင်း ရှုပ်နေပေမဲ့ ဥပမာကြည့်လိုက်ရင်ရှင်းသွားမှာပါ။ Forensics Analysis လုပ်နေစဉ်မှာ File Slack နေရာတွေက အရေးကြီးတဲ့ အပိုင်းမှာပါဝင်လာပါတယ်။ ဘာလို့လဲဆိုရင်  Cluster ထဲမှာ အသုံးမပြုပဲကျန်နေတဲ့ Sector တွေထဲမှာ အရင်တုန်းက Data တွေကျန်ရှိနေသေးတဲ့အတွက်ဖြစ်ပါတယ်။ 

Storage တစ်ခုရဲ့ Cluster Size =  4KB ရှိတယ်လိုဆိုကြပါစို့။  8KB ရှိတဲ့ Documents File (Text File)  တစ်ခုကို သိမ်းဆည်းမယ်ဆိုရင် Cluster နေရာ ၂ နေရာလိုအပ်မှာဖြစ်ပါတယ်။ 

8 KB ရှိတဲ့ Text File ကို ဖျက်လိုက်တဲ့အခါမှာ Storage က Unlocated Space ဖြစ်သွားပေမဲ့ TEXT FILE က Storage ထဲမှာရှိနေတုန်းဖြစ်ပါတယ်။ 

နောက်တစ်ခါမှာတော့  5KB ရှိတဲ့ PDF File တစ်ခုကို Cluster 3,4 မှာထပ်ပြီးသိမ်းလိုက်ပါတယ်။ သိမ်းလိုက်တဲ့အခါမှာ Cluster 3 မှာနေရာအပြည့်ယူပြီး Cluster 4 မှာတော့  1KB ပဲယူပါတယ်။  Cluster 4 ထဲက ကျန်တဲ့ 3KB က အရင်တုန်းကရှိခဲ့တဲ့ File Content တွေဖြစ်ပါတယ်။ Cluster 4 ထဲမှာ ကျန်တဲ့ 3 KB  နေရာကို File Slack လို့ခေါ်ပါတယ်။ 

RAM SLACK 

RAM Slack ကိုတော့ အရင်တုန်းက Operation System တွေမှာသာတွေ့ရပါတယ်။ နောက်ပိုင်း OS တွေမှာ RAM Slack ကိုမတွေ့ရတော့ပါဘူး။ Cluster ထဲမှာ Sector 4 ခုပါရှိတယ်ဆိုပါစို့။ Sector Size = 512 Bytes 

Text File Size = 1020 Bytes က Cluster ပေါ်မှာနေရာယူတဲ့အခါမှာ  ကျန်တဲ့ Sector မှာ 512 Bytes ပြည့်ဖို့အတွက်  4 Bytes ကျန်နေပါတယ်။ အဲဒီနေရာကို RAM Slack လို့ခေါ်ပါတယ်။ 

Other Slack Space 

ကျန်တဲ့ Slack Space တစ်ခုကတော့ ​Master File Table (MFT) Slack Space ဖြစ်ပါတယ်။ MFT Slack Space က Forensics မှာ အရေးကြီးတဲ့ အပိုင်းတစ်ခုဖြစ်ပါတယ်။