-- 해당 내용은 드림핵의 디지털 포렌식 로드맵 강의를 정리한 내용입니다. --  아래의 실습을 진행할 도구는 가장 많이 사용되는 메모리 포렌식 도구인 Volatility 입니다.아래 깃헙 링크에서 해당 도구를 다운받을 수 있습니다.https://github.com/volatilityfoundation/volatility3 GitHub - volatilityfoundation/volatility3: Volatility 3.0 developmentVolatility 3.0 development. Contribute to volatilityfoundation/volatility3 development by creating an account on GitHub.github.com 실습 목표 : 메모리 덤프를 ..

다중 파티션 구조 실습 이번 실습은 앞서 진행했던 단일 파티션이 아닌 다중 파티션입니다. Partition Table에는 부팅에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가지고 있다.총 4개의 파티션 정보를 저장할 수 있고,각각의 파티션 정보는 16byte로 이뤄져 있다. Partition Table 구조는 아래의 표와 같습니다.범위 (byte range)설명10진수16진수0 - 4450x0000 - 0x01BDBoot code446 - 4610x01BE - 0x01CDPartition Table entry #1462 - 477 0x01CE - 0x01DD Partition Table entry #2478 - 493 0x01DE - 0x01ED Partition Table entry #3..

손상된 NTFS 파티션 복구 실습 이번 실습은 NTFS 파티션 복구입니다.FAT32 파티션 복구 실습 과정과 거의 동일합니다.[forensics] FAT32 파티션 복구 실습 - FTK / HxD [forensics] FAT32 파티션 복구 실습 - FTK / HxD손상된 FAT32 파티션을 복구하는 실습입니다.  먼저, FTK Imager 도구를 사용하여 FAT32 파티션 분석을 합니다.실습파일을 Image File로 확인해보면 파티션 정보를 확인할 수 있습니다. Patition 1이 Unrecogdorigamja.tistory.com  먼저, FTK Imager 도구를 사용해 파티션 정보를 확인합니다. Evidence Tree의 파티션 정보가 Unrecognized file system으로 나오는 것..

손상된 FAT32 파티션을 복구하는 실습입니다.  먼저, FTK Imager 도구를 사용하여 FAT32 파티션 분석을 합니다.실습파일을 Image File로 확인해보면 파티션 정보를 확인할 수 있습니다. Patition 1이 Unrecognized file system으로 나오는 것으로 보아파티션 정보가 손상됨을 확인할 수 있습니다.    디스크 값을 바로 수정할 수 있게 HxD 에디터로 분석을 합니다.MBR은 총 512Byte로 이루어져 있다. 섹터를 보기쉽게 확인하기 위해 해당 파일의 sector size를 512byte로 선택했습니다.   MBR은 Boot Code, Partition Table, Signature 3가지 구조로 구성되어 있다.Partition Table은 실제 파티션 정보를 담고 ..