NTFS 파티션 복구
FTK Imager로 이미지 파일을 열어보니 파일 시스템을 인식할수 없다며 파티션이 손상된 것을 확인할 수 있습니다.
손상된 이미지 파일을 복구하기 위하여 HxD로 이미지 파일을 열어보겠습니다.
섹터 0의 MBR 구조입니다. 파티션 테이블을 확인하니 파티션 하나가 할당되어 있습니다.
파티션을 분석해보면 시작 주소는 3F 00 00 00이고, 0x07이므로 NTFS 파일 시스템인 점을 확인할 수 있습니다.
시작 주소가 00 00 00 3F(리틀 엔디안)이므로 10진수로 변환한(63) 주소로 이동해 보겠습니다.
63번 섹터에 DISK Fail이라고 손상되어 있습니다. 이 63번 섹터를 복구해보겠습니다.
NTFS 파일 시스템의 경우 파티션 정보의 제일 마지막 섹터에 백업본이 저장되어 있습니다.
파티션 테이블에는 파티션에 대한 총 섹터 개수가 저장되어 있습니다. 이를 통해 백업본의 위치를 찾아보겠습니다.
섹터 0을 확인해보니 총 섹터 개수는 C0 3F 3C 00 이라고 적혀있습니다.
00 3C 3F C0(리틀엔디안)을 10진수로 변환하면 3,948,480이라는 주소가 됩니다.
3,948,480은 해당하는 파티션의 총 섹터 수로, 전체 하드디스크에 대한 섹터 수가 아닙니다.
원하는 해당 파티션의 마지막 위치로 이동하기 위해서는 파티션 시작 주소를 더해주어야 합니다.
63 (파티션의 시작 주소) + 3,948,480 (파티션에 대한 총 섹터 개수) - 1 (공통으로 해당하는 MBR 섹터 1개)를 해주어야 합니다.
즉 3,948,542번 섹터에 백업본이 존재합니다. 백업본이 존재하는 주소로 이동해보겠습니다.
백업본을 복사해서 손상된 파티션이 존재하는 63번 섹터로 붙여넣어 보겠습니다.
붙여넣기를 한 후 저장을 해주고, 복구된 이미지 파일을 FTK Imager로 열어보겠습니다.
손상된 파티션이 정상적으로 복구되었습니다.
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
|---|---|
| [디스크 포렌식] 다중 파티션의 이해 (0) | 2020.12.02 |
| [디스크 포렌식] FAT32 파티션 복구 (0) | 2020.12.02 |
| [디스크 포렌식] MBR (Master Boot Record) 구조 (0) | 2020.12.01 |
| [디스크 포렌식] 하드디스크 구조 (0) | 2020.12.01 |
