사용 파일 - FAT32 Partition Recovery.001
FTK Imager의 File > Add Evidence Item > Image File 선택 후 파일을 연다.
연 뒤 Evidence Tree의 Partition을 보면 Unrecignized 로 나오는 것은 파티션 정보 손상을 의미한다.
이제 HxD 에디터에서 Extras > Open disk images 로 파일을 연다, sector size는 512byte로
한글은 도구 - 디스크 이미지 열기 이다.
우선 실습파일의 시작 주소는 3F 00 00 00이다, 또한, 옆에 0B 즉, 0x0B 인것은 FAT 32의 파일 시스템을 가지는 것이다.
또한 위에 80은 Boot Flage로써, 80은 부팅 가능한 파티션인 것이다.
이제 실습파일 시작주소를 알아냈으니 해당 주소를 10진수로 변환 후 해당 섹터로 이동한다.
3f000000 hex값을 변환한 결과 밑에 63이라는 값이 나왔다. 이 값이 시작주소의 정수값이다.
이 값을 위 섹터란에 63으로 넣고 엔터치면 해당 섹터로 이동할 수 있다.
값을 본 결과 이상한 값들이 차있어 손상된 것을 볼 수 있다.
FAT32는 파티션 시작정보를 담고있는 BR(VBR) 정보에 파티션 시작주소의 6번째에 백업본을 가지고있는데
이를 활용해서 복구할 수 있다.
지금 시작주소는 63이니 6번째면 63+6=69 번 섹터에 백업본이 있을 것이다.
이제 정상적인 BR 정보가 보인다. 해당 BR 정보가 있는 69번 섹터를 복사해서
63번 섹터에 덮어쓰면 된다.
BR 영역은 512byte로 69번섹터에서 70번 섹터 전까지인 69번 섹터 전체를 복사한다.
그 후 커서를 63번 섹터의 맨 처음에 두고 우클릭 한 뒤 붙여넣기 쓰기 를 눌러준다.
(참고로 FTK Imager에서 실습파일을 열고있다면 다른 프로세스가 사용중이라고 뜬다. FTK Imager에서 이미지 연것을 끄고 해야한다.)
그러면 원본 BR 정보로 덮어쓰기 할 수 있다. 그 후 ctrl+s 를 눌러 저장한다.
정상적으로 복구가 되었다면 다시 FTK Imager에서 열어보면 보이지 않던 파티션과 파일 목록들이 보이는 것을 볼 수 있다.
'9. 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 Sub 5 - Petya 랜섬웨어 감염 MBR 복구 (0) | 2023.12.14 |
|---|---|
| 디지털 포렌식 Sub 4 - 3.20 악성코드 감염 MBR 복구하기 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 3 - 다중 파티션 구조 이해 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 2 - NTFS 파티션 복구하는 방법 (0) | 2023.12.14 |
| 디지털 디스크 포렌식 - 도구 및 예제 (0) | 2023.12.14 |
