728x90
반응형
FAT32 파일 시스템을 가진 실습 파일을 HxD로 열고, 첫 번째 파티션의 시작 위치로 이동해 보겠습니다.
첫 번째 파티션의 시작 섹터입니다. 이 정보를 통하여 루트 디렉토리의 위치를 알아내 보겠습니다.
루트 디렉토리의 위치를 알아내기 위해서 FAT Area의 주소를 알아야 합니다.
위의 BR 영역의 Reserved Sector 영역을 보면 10 1A로 되어 있습니다.
즉 BR 주소 (128) + Reserved Sector (4122)를 더해주면 FAT Area (4250번째) 섹터가 나옵니다.
루트 디렉토리로 가기 위해서는 FAT 주소에 FAT 크기*2를 한 값을 더해주면 됩니다. (FAT의 개수가 기본적으로 2개)
FAT 크기는 BR 영역을 보면 07 F3으로 적혀 있습니다.
4250 (FAT Area의 주소) + 2035*2 (FAT 크기 * 2) = 8320
위와 같이 계산하면 루트 디렉토리를 찾을 수 있습니다.
728x90
반응형
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] 긴 파일 이름을 가진 FAT32 파일시스템 (0) | 2020.12.04 |
|---|---|
| [디스크 포렌식] 루트 디렉토리의 CreateTime, CreatedDate 계산 (0) | 2020.12.04 |
| [디스크 포렌식] FAT32 파일 시스템 (0) | 2020.12.03 |
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
| [디스크 포렌식] 다중 파티션의 이해 (0) | 2020.12.02 |
