디지털 포렌식 (Forensic)/디스크 포렌식 (Disk) (15) 썸네일형 리스트형 [디스크 포렌식] 다중 파티션의 이해 다중 파티션 파티션 테이블에는 총 4개의 파티션 정보가 할당되는데, 파티션이 5개 이상인 경우에는 다중 파티션을 사용합니다. forensic-proof.com 사이트에서 참고한 다중 파티션의 구조입니다. 마지막 4번째 파티션을 확장파티션으로 할당하고, 확장 파티션에서 다시 확장 파티션을 할당한다는 개념입니다. 다중 파티션이 할당된 이미지 파일을 FTK Imager로 열어보았습니다. 총 5개의 파티션이 할당되어 있습니다. HxD로 이미지 파일을 열어 파티션 테이블 값을 분석해 보겠습니다. 파티션 테이블을 확인해보면 4번째 파티션의 정보가 있는 부분에 0x05로 확장 파티션을 나타내는 플래그가 있습니다. 확장 파티션을 나타내는 4번째 파티션의 시작 주소가 00 04 B0 80(리틀 엔디안)을 10진수로 변환.. [디스크 포렌식] NTFS 파티션 복구 NTFS 파티션 복구 FTK Imager로 이미지 파일을 열어보니 파일 시스템을 인식할수 없다며 파티션이 손상된 것을 확인할 수 있습니다. 손상된 이미지 파일을 복구하기 위하여 HxD로 이미지 파일을 열어보겠습니다. 섹터 0의 MBR 구조입니다. 파티션 테이블을 확인하니 파티션 하나가 할당되어 있습니다. 파티션을 분석해보면 시작 주소는 3F 00 00 00이고, 0x07이므로 NTFS 파일 시스템인 점을 확인할 수 있습니다. 시작 주소가 00 00 00 3F(리틀 엔디안)이므로 10진수로 변환한(63) 주소로 이동해 보겠습니다. 63번 섹터에 DISK Fail이라고 손상되어 있습니다. 이 63번 섹터를 복구해보겠습니다. NTFS 파일 시스템의 경우 파티션 정보의 제일 마지막 섹터에 백업본이 저장되어 있습.. [디스크 포렌식] FAT32 파티션 복구 FAT32 파티션 복구 FTK Imager로 손상된 이미지 파일을 열게 되면 위 사진과 같이 파일 시스템이 인지되지 않는다고 나옵니다. 손상된 이미지 파일을 복구하기 위하여 HxD로 이미지 파일을 열어보겠습니다. Sector 0의 MBR 구조입니다. 파티션 테이블 부분에 파티션 1개가 할당되어 있는 것을 확인할 수 있습니다. 해당 파티션의 시작 주소는 3F 00 00 00이고, 0x0B가 할당되어 있으므로 FAT32 파일시스템입니다. 파티션 시작 주소를 알아냈으니 00 00 00 3F(리틀 엔디안)를 10진수로 변환(63)하고 해당 섹터로 이동해 보겠습니다. 63번 섹터를 보면 DISK Fail 이라는 문구가 도배되어 있습니다. 63번 섹터를 복구해 보겠습니다. FAT32 파일시스템은 파티션 시작 주소의.. [디스크 포렌식] MBR (Master Boot Record) 구조 MBR 구조 LBA (Logical Block Addressing) 주소지정방식의 실제 하드디스크 구조를 알아보겠습니다. LBA 주소지정방식은 섹터 단위로 차례대로 주소를 지정하기 때문에 0번 섹터에 MBR이 오게 되며, 이후 차례대로 파티션 정보가 들어오게 됩니다. MBR에는 부팅에 필요한 Boot Code와 파티션 정보를 가지고 있어 시스템의 MBR이 손상되면 부팅이 불가능하게 됩니다. MBR은 총 512byte로 구성되어 있고, 크게 3가지 영역으로 구분됩니다. 부트 코드 (446byte) 부팅과 관련된 코드를 담고 있는 영역으로, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같습니다. 파티션 테이블 (64byte) 부팅에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가지고.. [디스크 포렌식] 하드디스크 구조 하드디스크 구조 전원 커넥터 : 하드디스크에 전원을 공급해주는 단자 데이터 커넥터 : 하드디스크와 컴퓨터 사이의 데이터를 전송해주는 단자 헤드 : 데이터를 읽어주는 역할 액츄에이터 암 : 헤드를 데이터가 있는 위치로 움직여주는 역할 플래터 : 실제 데이터가 저장되는 영역 스핀들 모터 : 플래터를 회전해주는 역할 플래터 구조 트랙 (A) : 섹터 단위의 모음. 원심 전체가 트랙이 됨. 섹터 (B) : 하드디스크의 물리적인 최소 단위 (512byte) 트랙 섹터 (C) : 같은 구역에 있는 섹터의 집합 클러스터 (D) : 섹터 단위를 묶어 데이터의 입출력 단위를 정하게 되는데 이를 클러스터라 함. (기본 4096byte) 클러스터 하드디스크의 읽기/쓰기 작업은 모두 섹터 단위로 이루어지고 물리적인 최소 단위.. 이전 1 2 다음
