eCDFP Module (5) File System Analysis (Part-11) (NTFS File System Analysis)

Alternative Data Stream (ADS) 

 NTFS File System မှာ one $DATA Attribute မှာတစ်ခုထပ်ပိုပြီးရှိနိုင်ပါတယ်။ အဲဒါကတော့ Alternative Data Stream (ADS) ပဲဖြစ်ပါတယ်။ ADS ကို Data Hiding ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုပါတယ်။ 


အခုဆိုရင် DFM.TXT File အတွက် နောက်ထပ်  $DATA Attribute တစ်ခုကိုပြုလုပ်လို့ပြီးပါပြီး။ 



သာမန်ကြည့်ရင် DFM.TXT File ကိုပဲမြင်ရမှာ ဖြစ်ပြီး  DFM.TXT File ထဲမှာ Hidden ဖြစ်နေတဲ့  File.TXT File ကိုမြင်ရမှာ မဟုတ်ပါဘူး။ ADS ကိုမြင်ဖို့အတွက် အောက်မှာပြထားတဲ့ Command ကိုအသုံးပြုပြီးကြည့်နိုင်သလို။ Disk Editor တွေနဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ Forensics Tools တွေမှာတော့ ADS ကိုရှာဖွေပြီးဖော်ပြပေးပါတယ်။ 








ADS File ကို အောက်ပါအတိုင်း Disk Editor နဲ့လဲဖွင့်ကြည့်နိုင်ပါတယ်။ နောက်တစ်နည်းကတော့ ADS File ကို FAT File System ရှိတဲ့ Storage ထဲကိုထည့်ပြီး ဖွင့်ကြည့်တာဖြစ်ပါတယ်။ ADS က  NTFS File System မှာသာ အလုပ်လုပ်ပါတယ်။ 







File  And RAM SLACK 

Storage  ပေါ်မှာ Data တွေကို သိမ်းဆည်းတဲ့အခါမှာ File Size အရ  Disk Space (Storage)  လိုအပ်လာရင် Operating System က  လိုအပ်တဲ့ File Size ပမာဏအရ Cluster တွေကိုတိုးပေးပါတယ်။ 
Cluster Size  က  4KB ရှိပြီး ထပ်ပြီးလိုအပ်တဲ့ ပမာဏက  1 Or 2 bytes ဖြစ်နေရင်တောင် Cluster တစ်ခုထပ်ပြီးတိုးပေးရတဲ့အတွက် File Slack တွေ RAM Slack တွေဖြစ်လာပါတယ်။  

File Slack 


File က Cluster ပေါ်မှာနေရာယူထားပေမဲ့ File Size အရ Cluster ထဲမှာ အဲဒီ File မသုံးတဲ့ နေရာလွတ်တွေတစ်နည်းအားဖြင့် Cluster ထဲမှာလွတ်နေတဲ့ Sector တွေကို File Slack လို့ခေါ်ပါတယ်။ စာအနေနဲ့ ရှုပ်ကောင်း ရှုပ်နေပေမဲ့ ဥပမာကြည့်လိုက်ရင်ရှင်းသွားမှာပါ။ Forensics Analysis လုပ်နေစဉ်မှာ File Slack နေရာတွေက အရေးကြီးတဲ့ အပိုင်းမှာပါဝင်လာပါတယ်။ ဘာလို့လဲဆိုရင်  Cluster ထဲမှာ အသုံးမပြုပဲကျန်နေတဲ့ Sector တွေထဲမှာ အရင်တုန်းက Data တွေကျန်ရှိနေသေးတဲ့အတွက်ဖြစ်ပါတယ်။ 

Storage တစ်ခုရဲ့ Cluster Size =  4KB ရှိတယ်လိုဆိုကြပါစို့။  8KB ရှိတဲ့ Documents File (Text File)  တစ်ခုကို သိမ်းဆည်းမယ်ဆိုရင် Cluster နေရာ ၂ နေရာလိုအပ်မှာဖြစ်ပါတယ်။ 


8 KB ရှိတဲ့ Text File ကို ဖျက်လိုက်တဲ့အခါမှာ Storage က Unlocated Space ဖြစ်သွားပေမဲ့ TEXT FILE က Storage ထဲမှာရှိနေတုန်းဖြစ်ပါတယ်။ 



နောက်တစ်ခါမှာတော့  5KB ရှိတဲ့ PDF File တစ်ခုကို Cluster 3,4 မှာထပ်ပြီးသိမ်းလိုက်ပါတယ်။ သိမ်းလိုက်တဲ့အခါမှာ Cluster 3 မှာနေရာအပြည့်ယူပြီး Cluster 4 မှာတော့  1KB ပဲယူပါတယ်။  Cluster 4 ထဲက ကျန်တဲ့ 3KB က အရင်တုန်းကရှိခဲ့တဲ့ File Content တွေဖြစ်ပါတယ်။ Cluster 4 ထဲမှာ ကျန်တဲ့ 3 KB  နေရာကို File Slack လို့ခေါ်ပါတယ်။ 



RAM SLACK 


RAM Slack ကိုတော့ အရင်တုန်းက Operation System တွေမှာသာတွေ့ရပါတယ်။ နောက်ပိုင်း OS တွေမှာ RAM Slack ကိုမတွေ့ရတော့ပါဘူး။ Cluster ထဲမှာ Sector 4 ခုပါရှိတယ်ဆိုပါစို့။ Sector Size = 512 Bytes 
Text File Size = 1020 Bytes က Cluster ပေါ်မှာနေရာယူတဲ့အခါမှာ  ကျန်တဲ့ Sector မှာ 512 Bytes ပြည့်ဖို့အတွက်  4 Bytes ကျန်နေပါတယ်။ အဲဒီနေရာကို RAM Slack လို့ခေါ်ပါတယ်။ 

Other Slack Space 

ကျန်တဲ့ Slack Space တစ်ခုကတော့ ​Master File Table (MFT) Slack Space ဖြစ်ပါတယ်။ MFT Slack Space က Forensics မှာ အရေးကြီးတဲ့ အပိုင်းတစ်ခုဖြစ်ပါတယ်။ 

Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

SQLite Database Forensics (Note)