[forensics] FAT32 파티션 복구 실습 - FTK / HxD

손상된 FAT32 파티션을 복구하는 실습입니다.

 

 

먼저, FTK Imager 도구를 사용하여 FAT32 파티션 분석을 합니다.

실습파일을 Image File로 확인해보면 파티션 정보를 확인할 수 있습니다.

 

Patition 1이 Unrecognized file system으로 나오는 것으로 보아

파티션 정보가 손상됨을 확인할 수 있습니다.

FTK Imager 도구를 이용한 분석

 

 

 

 

디스크 값을 바로 수정할 수 있게 HxD 에디터로 분석을 합니다.

MBR은 총 512Byte로 이루어져 있다.

 

섹터를 보기쉽게 확인하기 위해 해당 파일의 sector size를 512byte로 선택했습니다.

HxD 에디터 도구로 섹터0 확인

 

 

 

MBR은 Boot Code, Partition Table, Signature 3가지 구조로 구성되어 있다.
Partition Table은 실제 파티션 정보를 담고 있는 영역으로, 64byte 크기로 이뤄져 있다.

 

Partition Table을 자세히 분석해봅니다.

 

Boot Flag == 0x80 : 부팅이 가능한 파티션임.

File System Type == 0x0B : FAT32

파티션 시작 주소 == 3F 00 00 00 

FAT32 Partition Table 분석

 

 

 

실습파일의 시작 주소가 3F 00 00 00인 것을 확인했으니

해당 주소를 10진수로 변환하여 해당 섹터로 이동합니다.

 

16진수 3F를 10진수로 변환하면 63입니다.

sector 내비게이터에 63을 입력하면 섹터 63번으로 이동할 수 있습니다.

 

63번 섹터를 보니 DISK Fail YAM!이라는 문자열로 가득합니다.

sector 63번 분석

 

 

 

63번 섹터는 MBR의 BR(Boot Record)영역이며, VBR(Volume Boot Record)라고도 부른다.

FAT32는 파티션 시작 정보를 담고 있는 BR정보에 파티션 시작주소의 6번째에 백업 본을 가지고 있다.

 

이는 파티션 시작주소였던 63에서 6을 더한 69번 섹터에 백업본이 있다는 뜻입니다.

 

69번 섹터를 확인하면 정상적으로 보이는 BR 정보를 확인할 수 있습니다.

sector 69번 분석

 

 

 

Ctrl+B 단축키를 이용해 63번 섹터를 69번 섹터와 동일한 내용으로 덮어쓰고

저장해서 FTK Imager로 확인합니다.

 

아까는 Unrecognized file system이었던 파티션이 EVIDENCE_NT로 바뀌었고,

보이지 않았던 파티션과 파일 목록들을 확인할 수 있습니다.

FTK Imager 도구로 복구된 파일 확인