인프런 커뮤니티 질문&답변

rlagksthf002님의 프로필 이미지
rlagksthf002

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[Autopsy]실습 시나리오 풀이 3-1

실습 시나리오 3번관련

해결된 질문

작성

·

68

0

강사님 안녕하세요.

너무도 좋은 강의 잘보면서 시험 준비 중에 있습니다.

다름이 아니라 실습3번 시나리오 문제풀이 중

궁금중이 생겨 질문드립니다.

 

올려 주신 정보저장매체에는 3개의 파티션이 존재하는데

그 중 2개는 복구가 필요하고, 1개는 바로 확인이 가능한 것으로 파악되었는데

 

이 바로 확인이 가능한 3번째 파티션의 경우 HxD 를 이용하여 MBR 테이블 확인했을 때 어째서 3번째 파티션 영역에 3번째 파티션 BR에 대한 값이 들어가 있지 않은지 개념에 대하여 궁금증이 생겨 질문이 드립니다.

답변 3

1

rlagksthf002님의 프로필 이미지
rlagksthf002
질문자

'FTK Imager'와 'Autopsy'가 알아서 해줬다

이해했습니다.

자격증 취득하게 되면 더 공부해봐야 될 부분이겠네요^^

감사합니다.

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 rlagksthf002님!

시나리오 3번의 경우 총 3개의 파티션이 확인됩니다.

image.png

Partition1[3072MB] : unrecognized file system
Partition2[600MB] : Unrecognized file system
[Recovered] Partition1 : NTFS

이렇게 확인이 되는데, 처음 2개의 파티션은 BR이 훼손되어서 내부에 접근이 불가능한 상태이고
3번째 [recovered] 파티션은 [Recovered]라는 말이 붙으면서 접근이 가능합니다.
이 경우는 해당 파티션의 BR이 정상이지만 0번 섹터의 MBR에서 파티션 테이블 중 해당 파티션의 정보를 담은 3번 파티션 테이블의 내용이 훼손된 경우인데, 이렇게 훼손된 부분을 FTK Imager에서 불러오면서 자동으로 복구를 했기때문에 접근이 가능한 경우입니다.

 

위 파일을 복구 하기 위해서 e01 파일을 raw(dd)로 한 번 더 이미징 해주고, 그렇게 생성된 raw파일을 HxD에서 불러오면 0번섹터에서 파티션 테이블을 확인할 수 있습니다.

파티션 테이블의 1번과 2번은 FTk Imager에서 확인한 Partition 1, 2번에 대한 내용이 들어가있고
마지막으로 3번 파티션 테이블은 0x 00 으로 16바이트가 가득차 있습니다.
이 부분이 훼손이 됐기때문에 원래는 접근이 되지 않아야 되는데 FTK Imager가 복구를 해서 보여준 것 뿐입니다.
정확히 하자면 이 부분에 대한 복구를 직접 해야하는데,
3번 파티션의 BR을 찾고, MBR의 3번 파티션 테이블에 필요한 정보인 시작섹터, 파일시스템, 총 섹터수 등을 확인한 후에 0번섹터의 3번 파티션 테이블에 값을 맞게 넣어줘야 복구가 되지만, 이부분은 BR복구보다는 조금 더 어려운 내용이고, 무엇보다 Autopsy의 경우 분석을 돌리는데 문제가 없기때문에 굳이 다루지 않은 부분입니다.

그렇기때문에 우리 눈에는 3번 파티션 테이블은 비어있는 파티션으로 보일 뿐, 사실을 직접 복구를 해야하는 부분이며, '고맙게도' FTK Imager'와 'Autopsy'가 알아서 해줬다 라고 생각해주세요~ :)

3번 파티션을 정확히 복구하자면 현재는

image.png

이렇게 되어있지만, 훼손 전에는 아래와 같습니다.

image.png


0

안녕하세요, 인프런 AI 인턴입니다. rlagksthf002님, 질문 주셔서 감사합니다.

디지털포렌식 실습이나 문제 풀이 중 파티션 구조와 관련된 혼란스러움은 흔합니다. MBR(Master Boot Record)과 BR(Boot Record)의 관계, 그리고 파티션의 구조는 반드시 이해해야 할 핵심 개념 중 하나입니다.

MBR과 BR의 개념 이해

  1. MBR 개요:

    • MBR은 디스크의 첫 번째 섹터(0번 섹터)에 위치하며, 부팅 관리자 코드와 4개의 파티션 테이블을 포함합니다. 각 파티션 테이블에는 파티션의 시작 및 크기 정보가 기록됩니다.
  2. BR(부트 레코드):

    • 각 파티션의 시작 부분에 있는 레코드로, 해당 파티션의 파일 시스템 정보를 담고 있습니다. MBR과는 다르게 각 파티션 안에 위치합니다.

문제 상황에서의 분석

실습 시나리오에서 3개의 파티션 중 두 개가 복구가 필요하고, 하나는 바로 확인할 수 있다고 하셨습니다. 질문에서 언급하신 3번째 파티션과 관련하여, MBR 테이블에 특정 파티션에 대한 정보가 명확하지 않은 상황은 다음과 같은 이유에서 발생할 수 있습니다:

  1. 파티션 테이블의 위치 변조:

    • 교육적인 목적에서는 의도적으로 파티션 테이블의 정보를 변조하거나, 정확하게 쓰이지 않도록 설정하는 경우가 있습니다.
  2. 파티션 식별 오류:

    • 파티션의 시작 위치가 덮어쓰여지거나, 무효한 값이 들어갈 경우 실제로 데이터가 존재하는 파티션과 설치된 파티션 테이블이 다를 수 있습니다.
  3. 소프트웨어 및 표현상의 문제:

    • 툴을 통해서 읽어들인 이미지에서 소프트웨어 상의 문제로 파티션 정보가 잘못 표시될 수도 있습니다.

추천 드리는 학습 방향:
- 각 파티션의 시작 위치(SECTOR)를 별도로 검증하고, HxD를 비롯한 다른 분석 도구를 사용하여 파일 시스템 정보를 직접 확인해보세요.
- 불명확한 부분은 기존 학습 자료나 강의의 MBR과 BR 분석 부분을 재확인하는 것도 도움이 됩니다.

관련된 논의를 참고하시려면, 다음 URL을 참조해 주세요:
- 파티션복구 질문있어요
- 질문입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

rlagksthf002님의 프로필 이미지
rlagksthf002

작성한 질문수

질문하기