2025. 1. 21. 19:16ㆍSTUDY/forensics
손상된 NTFS 파티션 복구 실습
이번 실습은 NTFS 파티션 복구입니다.
FAT32 파티션 복구 실습 과정과 거의 동일합니다.
[forensics] FAT32 파티션 복구 실습 - FTK / HxD
[forensics] FAT32 파티션 복구 실습 - FTK / HxD
손상된 FAT32 파티션을 복구하는 실습입니다. 먼저, FTK Imager 도구를 사용하여 FAT32 파티션 분석을 합니다.실습파일을 Image File로 확인해보면 파티션 정보를 확인할 수 있습니다. Patition 1이 Unrecog
dorigamja.tistory.com
먼저, FTK Imager 도구를 사용해 파티션 정보를 확인합니다.
Evidence Tree의 파티션 정보가 Unrecognized file system으로 나오는 것으로 보아
파티션 정보가 손상됨을 확인할 수 있습니다.
디스크 값을 바로 수정할 수 있게 HxD 에디터로 분석을 합니다.
해당 파티션은
Boot Flag == 0x80 : 부팅이 가능한 파티션임.
File System Type == 0x07 : NTFS
파티션 시작 주소 == 3F 00 00 00
파티션의 총 섹터 개수 == C0 3F 3C 00
파티션의 시작주소는 3F 00 00 00입니다.
3F 00 00 00을 10진수로 변환한 63번 sector로 이동합니다.
이번 실습파일의 BR영역에도 DISK Fail YAM!이라는 문자열이 가득합니다.
NTFS 파티션의 BR 백업 본은 파티션 정보의 제일 마지막 섹터에 저장되어 있다.
Partition Table에는 파티션에 대한 총 섹터 개수가 저장되어 있다.
해당 총 섹터 개수를 구하게 되면 해당 BR 백업 본 위치를 알 수 있다.
NTFS 실습파일의 총 섹터 개수는 C0 3F 3C 00 입니다.
C0 3F 3C를 10진수로 변환하면 3948480 입니다.
위의 3948480은 파티션의 섹터 수 이며 전체 하드디스크에 대한 섹터 수가 아닙니다.
해당 파티션의 마지막 위치로 이동하기 위해서는
해당 파티션 시작주소에 총 섹터 개수를 더 해줘야 합니다.
시작주소(63) + 총 섹터(3948480) = 3948543
에서 공통으로 해당하는 MBR의 섹터 1개를 빼주면 = 3948542가 됩니다.
sector 3948542번으로 이동합니다.
해당 섹터를 63번 섹터에 덮어쓰기를 진행합니다.
저장한 후, FTK Imager 도구로 분석해보면
보이지 않던 파티션과 파일 목록들을 확인할 수 있습니다.
진행한 FAT32와 NTFS 파티션 복구 실습 2가지의 목표는
BR(==VBR)영역이 손상되었을 때 백업 본이 어디에 위치하느냐를 확인하는 것이었습니다.
FAT32 파티션의 BR영역 백업 본은 파티션 시작주소의 6번째에 백업되어 있으며,
NTFS 파티션의 BR영역 백업 본은 파티션 정보의 제일 마지막 섹터에 백업되어 있습니다.
'STUDY > forensics' 카테고리의 다른 글
| 메모리 포렌식 (0) | 2025.02.26 |
|---|---|
| [forensics] 다중 파티션 구조 실습 - FTK / HxD (0) | 2025.01.21 |
| [forensics] FAT32 파티션 복구 실습 - FTK / HxD (0) | 2025.01.21 |