인프런 커뮤니티 질문&답변

kekemon님의 프로필 이미지
kekemon

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[공통] NTFS 파티션의 BR 복구

NTFS 파티션의 BR 복구 보충강의 관련

해결된 질문

작성

·

202

·

수정됨

1

양질의 강의 항상 감사드립니다 강사님!

 

NTFS 파티션의 BR 복구 보충강의 관련하여 마지막에 보여주신 꼬아놓은 이미지 파일 공유가 혹시 가능할까요?
만약에 이런 문제가 나오면 멘붕이 올 것 같아 연습 한 번은 해보고 싶어서 요청드립니다ㅜㅜ!

 

답변 2

0

kekemon님의 프로필 이미지
kekemon
질문자

강사님! 추가적으로 강의 보고 해보았는데 복구해서
이렇게 ftk imager에서 잘 보이면 제대로 된 것 맞죠...?
미흡한 지식에 귀찮게 해드려 죄송합니다...

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 Kekemon님!

네. 정상적으로 복구 하신것 같습니다 ! 복구하실때 Br 백업본의 위치가 251,903번 섹터를 복사하신게 맞죠?(올려주신 스크린샷에서 클러스터 수 등을 봤을때는 맞는것 같습니다)

그렇게 해주시면 되는데, 한가지 추가로 설명을 드리면,

'NTFS '으로 검색을 했을때 그나마 백업으로 보이는 섹터가 3개가 있습니다.

1) 251,903 섹터
2) 381,275 섹터
3) 409,471 섹터

우선 1) 251,903 섹터가 BR의 백업본이여서 마지막에 설명하도록 하고요.

3) 409,471번 섹터를 복사해서 0번섹터에 붙여넣고 저장한 후에 FTK Imager에서 확인해보면

image위와 같이 인식이 안되니 백업본이 아니라는 것을 바로 확인할 수 있습니다.

 

2) 그래서 381,275번 섹터를 복사해서 다시 0번섹터에 붙여넣고 저장한 후에 FTK Imager에서 확인해보면

image정상적으로 접근이 가능하죠? 그런데 이 381,275번 섹터는 BR의 백업본이 아닙니다.
접근도 가능하고 안에 저장되어있는 파일들도 잘 보이고, 추출도 가능하지만요.

HxD로 381,275번 섹터를 다시 보면

image섹터수를 알려주는 Total sector를 확인해보면
0x FF AB F1 34 00 00 00 00 이고 이걸 빅엔디언으로 순서를 바꾸면
00 00 00 00 34 F1 AB FF 이며, 10진수로 변환하면 888,253,439가 나옵니다.
섹터수가 888,253,439개 인데 섹터당 512bytes를 곱해서 용량을 확인해보면
무려 888253439 * 512 = 454,785,760,768 bytes = 약 423GB 가 나옵니다.
볼륨의 총 용량(가용용량이 아닌 예약영역등 우리가 사용할수 없는 곳까지 모두 합한 용량)이
423GB이고, FTK Imager에서 확인한 클러스터의 크기와 수를 계산해보면 가용용량을 확인할수 있는데 이 역시 4096 * 111031679 = 454,785,757,184 bytes = 약 423GB이고요.
뭔가 잘못됐죠?
이건 제가 total sector 값을 임의로 변경해놓아서 그러는건데, kekemon님이 올려주신 정상적으로 복구가 된 스크린샷에서 클러스터의 수와 클러스터의 크기를 가지고 가용용량을 구해보면

4096 * 31487 = 128,970,752 bytes = 약 122MB가 나오는데 이게 정상입니다.

 

BR 백업본을 검색할때 확인해야할것들이 몇가지 있었죠?
다 당연히 확인 하셨겠지만 한번 더 말씀드리면,

1) er NTFS 문자열이 섹터의 첫 줄에 와야하고
2) 문자열 중간이 00으로 채워져있지 않고 내용이 이어지면서 끝 부분 정도에 에러메세지가 있어야 하며
3) 해당 섹터의 마지막은 55 AA 로 끝나는 시그니처를 가지고 있어야합니다.
4) 마지막으로 위의 조건을 갖추어서 백업본으로 생각된다면, BR의 3번째줄 마지막 8자리(8 bytes)에 기록된 Total sector 값을 확인해서 섹터수가 몇개인지 확인 후, 섹터당 용량(대부분 512bytes이지만 혹시 모르니 ftk image에서 확인하세요~)을 곱해줬을때 나오는 총 용량이
납득 가능할만한 용량인지 꼭 확인
해주세요.
위에 예로 말씀드린것 처럼 ftk imager에서 접근도 가능하고 정상적으로 나오는것 처럼 보여도 섹터수 자체가 잘못기재되어있다면 정상적으로 복구한게 아니니 이미지 파일의 용량과 비교해서 섹터수에 따른 용량도 비교해주시면 조금 더 정확하게 찾으실수 있을실거예요~

 

마지막으로, 질문 주시는것에 대해서 절대 부담갖지 않으셔도 됩니다!!

궁금한점이 있으면 물어보기 위해서 큰 비용을 들여서 수강하시는거니까요.

절대 부담갖지 마시고 언제든지 말씀해주시면 최대한 빠르게 답변 드릴게요 ~ :)

 

kekemon님의 프로필 이미지
kekemon
질문자

자세한 첨삭까지 감사합니다!!!

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 kekemon님!

말씀하신 실습자료를 해당 강의 [섹션14. 보충강의] - [[공통] NTFS파티션의 BR복구] 영상의 우측 상단

'수업자료' 에 추가했습니다.

영상 등록시에는 제가 가볍게 설명하는 걸 목적으로 등록을 하다보니 영상에서 보신 이미지는 따로 보관을 하지 않았거든요.

그래서 그와 비슷한 이미지를 만들어서 올려드렸습니다. 영상과 동일하진 않지만 기본적인것은 똑같으니 연습에 도움이 되셨으면 합니다.

 

그리고 앞으로 올려드리는 강의영상에는 연습하실수 있도록 최대한 샘플 이미지를 첨부하도록 노력하겠습니다.

감사합니다 :)

kekemon님의 프로필 이미지
kekemon
질문자

감사합니다 강사님!!!

kekemon님의 프로필 이미지
kekemon

작성한 질문수

질문하기