DIGITAL FORENSICS: Resident Data

DIGITAL FORENSICS: Resident Data

RESIDENT DATA  คืออะไร    

ข้อมูลที่ถูกเก็บอยู่ในรายการ MFT แทนที่จะเป็นส่วนที่เหลือของระบบไฟล์ เนื่องจากไฟล์ MFT นั้นมีขนาดมาตรฐานเท่ากับ 1024 ไบต์ และเก็บข้อมูล Metadata เกี่ยวกับไฟล์ และโฟลเดอร์ , ชื่อไฟล์ ,วันเวลาและอื่น ๆ พื้นที่ใน MFT เพื่ออธิบายตำแหน่งของไฟล์ (เช่นการเรียกใช้ข้อมูล) อย่างไรก็ตามหากไฟล์มีขนาดน้อยกว่า 512 ไบต์ (ตัวอย่างทั่วไปคือ พวกไฟล์ text ขนาดเล็ก ) ระบบไฟล์จะวางไฟล์ไว้ใน MFT แทน แต่ถ้าไฟล์ใหญ่มากกว่า 512 ไบต์ก็ให้เอาไปเก็บข้างนอก MFT ENTRY แล้วค่อยชี้ไปหาอีกทีว่าเก็บอยู่ที่ไหน

• ไฟล์มีขนาดน้อยกว่า 512 ไบต์ที่ถูกเก็บอยู่ใน MFT entry เรียกว่า resident data
• ไฟล์ที่ใหญ่มากกว่า 512 ไบต์  ที่เก็บอยู่นอก MFT entry เรียกว่า non-resident data

www.berghel.net

ทำการทดสอบ RESIDENT  data

1. ใช้โปรแกรม x-WAYs Forensics 

2. ทำการ copy  ไฟล์ลงใน Flash Drive

• The Resident data.txt   45 Byte  Text file
• FTK_Imager.pdf    16843 KB   PDF File
• sift13.jpg 172 KB  JPEG Image
• Lab.docx 41 KB  Microsoft Word
• 16110921205.pdf  26 KB PDF File

File Size

2.  ใส่ข้อมูล ในไฟล์  THE RESIDENT DATA.TXT  และบันทึก 

RESIDENT DATA

3. ใช้โปรแกรม X-WAYS FORENSICS  ทำการ add CASE  Flash drive ค้นหาคำว่า This is Resident Data ใน MFT

MFT 

MFT RESIDENT DATA

ตัวอย่าง RESIDENT DATA 

ไฟล์ The Resident Data.txt   ขนาด 45 Byte
อยู่ใน $MFT   FILE0
Offset : 3221270528
Physical sector No. 6291607
ตำแหน่ง Cluster No. 786443> The Resident Data.txt

RESIDENT DATA  Size 45 bytes

จากจุดนี้เองก็เลยทำให้พวก text file ที่มีขนาดเล็กๆ มักจะถูกเก็บอยู่ใน MFT แต่ถ้าเกิดมีข้อมูลในไฟล์มีขนาดใหญ่ขึ้นมากกว่า 512 KB เนื้อหาของไฟล์จะถูกไปเก็บข้างนอก MFT แล้วใช้วิธีการชี้ตำแหน่งแทน

ตัวอย่าง NON-RESIDENT DATA 

ไฟล์ Sift13.jpg   ขนาด  171 KB

อยู่นอก $MFT  

Offset : 3217448960

Physical sector No. 6284143

ตำแหน่ง Cluster No. 785510 

NON-RESIDENT DATA  Size 171 KB

ตัวอย่าง NON-RESIDENT DATA 

ไฟล์ ListWebKMS.txt    ขนาด 2.1 KB
อยู่นอก $MFT
Offset : 143360
Physical sector No. 343
ตำแหน่ง Cluster No. 32

NON-RESIDENT DATA   Size 2.1 KB

Encase: Viewing Resident Data

How to export Master File Table to csv

Ref:
http://us.mrtlab.com/filesystem/NTFS-introduction-one.html

https://whereismydata.wordpress.com/2009/03/31/forensics-resident-data/

https://digital-forensics.sans.org/blog/2012/10/15/resident-data-residue-in-ntfs-mft-entries

https://slideplayer.com/slide/12642802/
https://www.slideshare.net/primeteacher32/windows-file-systems-87060217
http://www.berghel.net/col-edit/digital_village/aug-06/dv_8-06.php
https://whereismydata.wordpress.com/2009/03/29/mft-slack/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud