Chapter 03 디스크 복구
제 1절 파티션 복구
⑴ FAT32 파티션 복구 (전 글에서 이어짐)
실습 파일의 시작주소를 알아낸 후 해당 섹터로 이동한다. 3F 00 00 00 = 63
FAT32는 파티션 시작주소의 6번째에 백업 본을 가지고 있다. 따라서 69번 섹터로 이동하여 백업본이 정장속으로 존재하는지 확인해야 한다.
정상적인 BR 정보가 나타났다. 해당 BR 정보가 있는 69번 섹터를 복사하여 원래 시작위치인 63번 섹터에 복사하여 덮어쓰면 된다.
파티션이 복구되었는지 FTK Imager로 이미지 파일을 다시 불러와 확인한다. 정상적으로 복구되 었다면, 보이지 않던 파티션과 파일목록들이 보인다.
⑵ NTFS 파티션 복구
- 파티션 상태 확인
FTK Imager의 File > Add Evidence Item를 선택한다. 다음으로 Image File을 선택하고 실습파일이 저장된 경로 NTFS_Partition\NTFS Partition Recovery.001 을 선택하여 연다.
Evidence Tree의 파티션 정보가 Unrecognized 로 나오는 것으로 보아 파티션 정보가 손상된 것을 확인할 수 있다.
- 디스크값 수정
HxD로 실습 이미지를 불러온다.
실습파일의 파티션 정보를 분석해보면, 해당 파티션 정보가 있는 64byte에는 총 1개의 파티션만이 정보가 들어가 있는 것을 확인할 수 있다. 파티션 테이블정보를 토대로 분석하면 시작주소는 3F 00 00 00 인 것을 확인할 수 있다
해당 섹터로 이동한다. 3F 00 00 00 = 63
NTFS의 경우 파티션 정보의 제일 마지막 섹터에 저장하게 된다. 파티션 테이블에는 파티션에 대한 총 섹터 개수가 저장되어 있다. 해당 총 섹터 개수를 구하게 되면 해당 BR 백업 본 위치를 알 수 있다. 해당 실습파일의 총 섹터 개수는 [CO 3F 3C 00] 임을 알 수 있다. CO 3F 3C : 3948480 Sector
이는 해당 파티션(볼륨)의 섹터 수이며, 전 체 하드디스크에 대한 섹터 수가 아니므로 우리가 원하는 해당 파티션의 마지막 위치로 이동하기 위해서는 해당 파티션 시작주소에 총 섹터 개수를 더 해줘야 한다.
(시작주소(63) +총 섹터 (3,948,480)) 더해 주면 3,948,543이라는 주 소가 나오며, 해당 주소에서 공통으로 해당하는 MBR의 섹터 1개를 빼 줘야 한다.
3,948,543 - 1 = 3,948,542
백업본을 가지고 있는 3,948,542섹터로 이동하게 되면 BR백업본을 확인할 수 있다.
해당 BR 백업본을 복사하여 파티션 시작위치인 63번 섹터에 덮어쓴다.
파티션이 복구되었는지 FTK Imager로 이미지 파일을 다시 불러와 확인한다. 정상적으로 복구되 었다면, 보이지 않던 파티션과 파일목록들이 보인다.