~보안 일기~

Chapter 03 디스크 복구제2절 다중 파티션 이해 다중 파티션일 경우 파티션 테이블 관리를 알아보겠다. Ex_Partition.001 파일을 HxD에서 열어보면 파티션이 4개까지 보이지만 실제 이미징 파일에 존재하는 파티션을볼 수 있는 FTK Imager로 확인해보면 총 5개의 파티션을 갖고있다는 것을 확인할 수 있다. 5번째 파티션의 정보가 어디에 저장되는지 확인해야 한다. HxD로 확인해보면 4번째 파티견 정보에 파티션 타입이 0x05로 표기가 되어있다. 이는 확장 파티션을 나타내는 플래그 값이다. 확장 파티션의 주소로 이동하면 MBR 구조를 볼 수 있는데 확장 파티션의 시작주소는 80 B0 04 00 이므로 307328로 이동하면 된다.첫 번째 파티 션은 타입은 0x07 로 NTFS로 확인되지..

Chapter 02 데이터 표현과 디스크 구성 제 3절 MBR 하드디스크의 논리적인 구조 (1) MBR 구조 : 부팅 에 필요한 Boot Code와 파티션 정보를 가지고 있다.• Boot Code : 부팅과 관련된 코드를 담고 있는 영역이며, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같으며, 446byte의 크기를 가진다.• Partition Table : 실제 파티션 정보를 담고 있는 영역으로 총 4개의 파티션 정보를 저장할 수 있다. 64byte의 크기로 이뤄져 있다.• Signature : 해당 MBR의 끝을 알리는 시그니처 정보이다. ［55 AA］로 끝나며, 총 2byte로 이뤄져 있다. (2) 파티션 테이블 : 부팅 에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가..

chapter 02 데이터 표현과 디스크 구성 제 1절 하드디스크 구조 하드디스크 구조- 전원 커넥터 : 하드디스크에 전원을 공급해주는 단자- 데이터 커넥터 : 하드디스크와 컴퓨터 사이의 데이터를 전송해주는 단자- 헤드 : 데이터를 읽어준다- 액츄에이터암 : 헤드를 데이터가 있는 위치로 움직여 준다- 플래터 : 실제로 데이터가 저장되는 곳- 스핀들 : 플레터를 돌려준다플래터 구성- 트랙(A) : 하드디스크의 물리적인 최소단위인 섹터(512byte) 단위의 모음, 원심 전체가 트랙- 섹터(B) : 하드디스크의 물리적인 최소단위- 트랙 섹터(C) : 같은 구역에 있는 섹터의 집합- 클러스터(D) : 섹터 단위를 묶어 데이터의 입출력 단위. 기본은 4,096byte이다. (1) 클러스터섹터 단위로 입출력을 처..

chapter 02 데이터 표현과 디스크 구성 제 1절 데이터 표현 (3) 문자문자 코드는 한글, 영어(A〜Z, a〜z), 숫자(0〜9), 특수문자 등의 모양 을 특정 2진 값으로 정해 놓아 표현한다. 1) ASCII 문자 코드7bit로 구성된 128종의 기호. 제어 부호 33자, 그래픽 기호 33자, 숫자 10자, 알파벳 대소문자 52자로 되어 있다. 2) 엡시딕 코드(EBCDIC)CodeBCD 코드를 확장한 형태로 확장형 BCD 코드라 하며 IBM이 대형 운영체계에서 사용하기 위해 개발한 알파벳 및 숫자를 위한 바이너리 코드EBCDIC 파일 내에서 각 알파벳이나 숫자는 8bit의 이진수로 표현되므 로, 총 256개의 문자가 정의된다. 3) 유니코드(Unicode)나라별 언어를 모두 표현하기 위해 나온..

챕터 2. 데이터 표현과 디스크 구성 1. 데이터의 표현 1) 이진수 체계 0은 전기가 흐르지 않는 상태를 1은 전기가 흐르는 상태 (1) 데이터의 물리적 단위 - 비트 : 데이터 구성의 최소단위, 0과1로 구성 - 쿼터 : 2bit - 니블 : 4bit - 바이트 : 8bit - 워드 : 16bit - 더블 워드 : 32bit - 쿼드 워드 : 64bit - Kilobyte (KB) = 1,024 bytes= 210 bytes - Megabyte (MB) = 1,024KB = 220 bytes - Gigabyte (GB) = 1,024MB= 230 bytes - Terabyte (TB) = 1,024GB= 240 bytes - Petabyte (PB) = 1,024TB = 250 bytes - Exab..

1. HxD 에디터 파일이나 이미 지의 특정 섹터를 확인하거나 수정할 때 사용된다. - 기능 1) 분석 대상 열기 HxD 에디터는 파일, 물리 디스크, 이미징된 파일을 읽을 수 있다. 2) Sector 이동과 수정 이동하고 싶은 Sector 숫자를 직 접 입력하여 이동할 수 있고, 원하는 위치의 Hex 값으로 수정할 수 있다. 3) 특정 영역 일괄 블록지정 파일이나 디스크 복구 등 많은 섹터 영역을 지정해야 할 때 유용하게 사용된다. 4) 특정 영역 일괄 바꾸기 바꾸고자 하는 영역을 드래그한 후 Edit > Fill selection으로 지정된 블록 영역을 원하는 값으로 모두 바꿀 수 있다. 2. FTK Imager 디스크 이미징 작업에 많이 쓰인다. 이게 디지털 포렌식 전문가 자격증 실기 시험을 볼 때..