728x90
반응형
FAT32 파티션 복구
FTK Imager로 손상된 이미지 파일을 열게 되면 위 사진과 같이 파일 시스템이 인지되지 않는다고 나옵니다.
손상된 이미지 파일을 복구하기 위하여 HxD로 이미지 파일을 열어보겠습니다.
Sector 0의 MBR 구조입니다. 파티션 테이블 부분에 파티션 1개가 할당되어 있는 것을 확인할 수 있습니다.
해당 파티션의 시작 주소는 3F 00 00 00이고, 0x0B가 할당되어 있으므로 FAT32 파일시스템입니다.
파티션 시작 주소를 알아냈으니 00 00 00 3F(리틀 엔디안)를 10진수로 변환(63)하고 해당 섹터로 이동해 보겠습니다.
63번 섹터를 보면 DISK Fail 이라는 문구가 도배되어 있습니다. 63번 섹터를 복구해 보겠습니다.
FAT32 파일시스템은 파티션 시작 주소의 6번째 주소에 백업 본을 가지고 있습니다.
현재 파티션 시작 주소가 63번이니 69번 섹터로 이동하여 보겠습니다.
위와 같이 69번 섹터에 파티션 백업본이 존재합니다. 이를 복사하여 63번 섹터에 붙여넣겠습니다.
위와 같이 붙여넣고 저장을 하겠습니다. 저장된 이미지 파일을 FTK Imager로 열어보겠습니다.
파티션이 복구되었다는 점을 확인할 수 있습니다.
728x90
반응형
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
|---|---|
| [디스크 포렌식] 다중 파티션의 이해 (0) | 2020.12.02 |
| [디스크 포렌식] NTFS 파티션 복구 (1) | 2020.12.02 |
| [디스크 포렌식] MBR (Master Boot Record) 구조 (0) | 2020.12.01 |
| [디스크 포렌식] 하드디스크 구조 (0) | 2020.12.01 |
