실습 파일 - NTFS_Partition.zip 안의 NTFS Partition Recovery.001
학습 목표 - BR 영역이 손상된 파티션 복구하기
Sub 1에서 했던 대로 FTK Imager에서 열어본다.
파티션이 손상되어있다. 전과 같이 수정하기 위해 HxD 에디터로 열어보자.
(HxD에디터로 열기 전에 FTK Imager에서 File - Remove All Evidence Items 를 눌러 이미지를 완전히 닫고 열자)
우선 시작주소는 3F000000 인것을 볼 수 있다. 왼쪽에 07( 0x07)이라고 된것을 보아 NTFS 파일시스템을 가진 파티션인것을 알 수 있으며, 위쪽 부트플래그가 80이니 부팅 가능한 파티션이다. 3F000000이니 섹터는 63 섹터로 이동하자.
이번에도 이상한 문자열로 손상되어있는 상태이다.
NTFS의 경우 FAT32와 다르게 시작주소의 6번째 뒤에 백업본이 있지 않고
파티션 정보의 제일 마지막 섹터에 저장되어 있다.
우선 HxD 에디터에서 of 3948543을 보면 알 수 있듯이 3948542 섹터로 가면 볼 수 있다.
근데 파티션의 총 섹터 개수는 어떻게 알 수 있을까?
아까 0 섹터에서 3F000000 뒤에 C03F3C00 이 총 섹터 개수를 의미한다.
이를 10진수로 하면 3948480이 나오는데 이 파티션 시작주소인 63과 이를 더하면 3948543이 나오게 된다.
그런데 여기서 공통으로 해당하는 MBR의 섹터 1개를 빼주어야 하는데 즉 3948543-1을 해주면 된다.
근데 그냥 편하게 맨 마지막 바로 뒤의 섹터로 이동해주면 될것같다.
그러면 백업 BR 정보가 나오는데 FAT32와 마찬가지로 복사해서 63번 섹터에 붙여넣기 해주면 된다.
그러면 파티션이 복구된 것을 확인할 수 있다.
이렇게 파티션 정보가 있고 BR 영역만 손상된 경우 쉽게 복구할수 있지만. 파티션 테이블이 손상된 경우
시그니처로 검색하여 파티션 테이블을 완성해야 한다.
'9. 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 Sub 5 - Petya 랜섬웨어 감염 MBR 복구 (0) | 2023.12.14 |
|---|---|
| 디지털 포렌식 Sub 4 - 3.20 악성코드 감염 MBR 복구하기 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 3 - 다중 파티션 구조 이해 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 1 - FAT32 파티션 복구하는 방법 (0) | 2023.12.14 |
| 디지털 디스크 포렌식 - 도구 및 예제 (0) | 2023.12.14 |
