디지털포렌식10 디지털 포렌식 Sub 9 - NTFS 파일 추적 및 복구 목표 - FAT32 파일시스템에서 파일 추적 및 복구 NTFS 파일시스템은 부트 섹터 - 마스터 파일 테이블 - 데이터 영역 으로 구성된다. [NTFS 부트 섹터] 1.Boot Code - 0~2byte 2.BIOS Parameter Block - 3~83byte 3.Boot Code와 Error Message - 84 ~ 509 byte 4.시그니처 2byte - 510~511 byte NTFS는 파일에 대한 메타데이터를 파일에 기록하기 때문에 FAT32보다 구조가 간단하다. Master File Table을 사용하며 MFT Entry 0~15번은 파일 시스템 생성시 자동으로 생성되어 각개 용도로 사용된다. 드래그 한 부분은 MFT 시작 주소이다. A9 AA * SP(08) [맨위 우측에서 세번째] +.. 2023. 12. 14. 디지털 포렌식 Sub 8 - FAT 32에서 이름이 긴 파일 저장하는 방식 이해 실습 파일 - FAT32_LFN.001 목표 - FAT32 파일시스템에서 긴 파일 이름의 저장 방식 이해 HxD로 파일을 열고 루트디렉터리로 이동하자. 잘 보면 abcd... 로 시작하는 파일이 있다. FTK Imager에서 보면 abcdefg12345678.jpg 라는 파일이다. 이렇게 이름이 긴 파일은 루트 디렉터리에 새로 32byte의 영역 새로 할당 후 이름만을 저장하게 되며, 실제 파일정보가 있는 루트 디렉터리의 경우 Name 오프셋에 저장할 수 있는 byte 제한으로 파일이름이 ~로 축소되어 저장된다. 2023. 12. 14. 디지털 포렌식 Sub 7 - FAT32 파일시스템 구조 이해, 루트디렉터리 추적 실습 파일 - FAT32_file.001 목표 - FAT32를 사용하는 파일시스템 BR영역 분석 FAT32는 부트섹터-Reserved-FAT-FAT Mirror-Root Directory-Data Area 의 구조로 되어있다. [Boot Sector의 구조] Boot Code - 0~2byte BIOS Parameter Block - 3~89byte Boot Code와 Error Message - 90~509byte 시그니처 2byte - 510~511byte [Boot Code 영역] 위에서 부트코드 이후부터 89까지 BIOS Parameter Block 90 부터 맨 마지막 2 byte를 제외한 부분까지 Boot Code와 Error Message 이다. [FAT 영역] 1.4byte는 미디어 타입으.. 2023. 12. 14. 디지털 포렌식 Sub 6 - 보안 프로그램으로 위장한 악성코드 실습 파일은 받아지지 않아 필기로 대체 목표 - MBR이 손상된 파일시스템 복구 | 3.20과 같음 보안로그 수집기로 위장한 악성코드에 의해 감염된 디스크 복구의 목표. 로컬PC면 IP와 MAC 등을 수집하고 가상머신이면 MBR을 파괴시키는 악성코드이다. 과정 1- 파티션 테이블정보 복구 , 과정 2- MBR 복구 1. 우선 FTK Imager로 Windows 7.vmdk를 연다 MBR이 변조되어있고 446byte의 부트코드 영역의 MBR이 포함되어있다. 파티션 테이블 완성을 위해 부팅플래그,파티션 타입,파티션 시작주소, 파티션 총 섹터 수를 찾아야한다. OS가 설치된 부팅가능 시스템이므로 부팅플래그는 0x80 시그니처 검색으로 찾았을때 첫번째 파티션 시작주소와 BR 백업본 위치를 파악해서 파티션 타입을.. 2023. 12. 14. 이전 1 2 3 다음
