1. HxD를 이용한 파티션 복구
파일 시스템의 확인
1) 증거 usb를 E01포맷으로 최초로 이미징을 한 후, FTK Imager에서 불러온다.
2) 일부 파티션이 인식 불가라는 에러가 뜨면서 파티션 내부가 확인되지 않는 것을 확인
3) 파티션 내부 접근이 불가능하고 'Unrecognized file system'이라는 에러메세지가 뜨면 파티션의 BR이 훼손되었을 가능성이 높으므로 복구가 필요함
4) 파티션 복구는 RAW 파일로 이미징해서 HxD를 이용하여 복구
FAT 파일 시스템 복구
- 생성한 E01 이미지를 확인하여 FAT32에 문제가 있다면 쓰기방지를 한 뒤 RAW파일로 이미지를 다시 생성
FAT32 001파일을 HxD에서 열어본 모습.
섹터 0을 보고 분석을 해본다. 박스로 잡은 부분을 보면 파티션테이블을 볼 수 있는데 1번에서 어떤 값이 나와있다. 80 00 00 00 은 파티션 섹터로 가서 정보가 있으면 이는 BR이라고 볼 수 있다. 10진수로 바꾸면 128이기 때문에 128섹터로 가보면 아무 정보가 없었다. 바로 아래 129섹터를 보면 RRaA라고 써져 있는데 이게 있으면 128은 부터레코더라고 볼 수 있다.
FAT32의 경우 128 섹터의 백업본을 찾으려면 +6을 해서 134섹터를 살펴봐야 한다.
이 백업본을 섹터 128에 덮어줘야 한다. 위 섹터를 모두 복사해서 128 섹터에 붙여넣기 쓰기를 해서 저장한다.
이제 FTK imager로 보면 복구가 된 것을 볼 수 있다.
NTS파일의 경우 백업본을 찾을 때 그 파티션의 마지막 섹터에 저장을 한다. 마지막 섹터를 찾기 위해서는 섹터 0에서 총 섹터 수를 계산해서 그 위치로 이동하면 된다.
BR 위치 + NTFS의 전체 섹터 크기 - 2 로 이동하기
나머지는 똑같이 진행하기
2. Autopsy를 이용한 파일 시스템 복구
- [Recvered] 또는 Deleted라는 표시와 함께 내부 파일을 확인할 수 있는 파티션이 있다면 MBR 파티션 테이블이 훼손된 파티션이나, autopsy를 사용하여 복구 과정 없이 내부 파일 확인이 가능하다.
- 복구 삭제된 파티션이 보일 경우, autopsy에서 바로 불러와 분석 시작
'SWUFORCE > 윈도우 포렌식팀' 카테고리의 다른 글
| 섹션 10 - 정보확인방법 (0) | 2024.05.08 |
|---|---|
| 섹션 6 - 쓰기방지 실습 (0) | 2024.04.02 |
| 섹션 5 - 파일시스템 (0) | 2024.04.02 |
| 섹션 4 - 디지털포렌식 절차 (0) | 2024.03.27 |
| 섹션 3 - 디지털포렌식 용어 (1) | 2024.03.26 |