MFT 분석기술을 이용한 Alternate Data Stream 탐지 기법

Alternate Data Stream Detection Method Using MFT Analysis Module on NTFS

NTFS의 ADS는 매킨토시의 계층적 파일 시스템과의 호환을 위해 개발되었으나 최근에는 악의적 사용자들에 의해 악성코드 또는 안티 포렌식 목적의 데이터 은닉 용도로 활용되고 있다. 은닉된 ADS의 존재여부를 파악하고 정보를 추출하는 것은 컴퓨터 포렌식 분야에서 중요한 요소이다. 본 논문에서는 NTFS의 MFT정보를 이용하여 ADS를 탐지하기 위한 방법을 제안하였다. 이 방법을 구현하여 비교?실험한 결과, 기존의 방법에 비해 검색속도와 탐지건수 면에서 우수함을 확인하였다. 이 방법을 이용하면 운영체제에서 사용중인 파일도 검사할 수 있으며, 라이브 시스템뿐 아니라 이미지에 대해서도 탐지가 가능해 포렌식 목적에 부합된다.

Alternate Data Streams (ADS) in NTFS originally has developed to provide compatibility with Macintosh Hierarchical File System. However, it is being used by the malware writers in order to support hiding malwares or data for the purpose of anti-forensics. Therefore identifying if hidden ADSs exist and extracting them became one of the most important component in computer forensics. This paper proposes a method to detect ADSs using MFT information. Experiment reveals that proposed method is better in performance and detection rate then others. This method supports not only identification of ADSs which are being used by the operating systems but also investigation of both live systems and evidence images. Therefore it is appropriate for using forensic purpose.