인프런 커뮤니티 질문&답변

01001010님의 프로필 이미지
01001010

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[공통] NetworkUsageView/ThumbCacheViewer/Hashcalc

23회 실기시험

해결된 질문

작성

·

198

·

수정됨

0

안녕하세요. 이번에 23회차 실기시험을 본 수험생인데요.

이번에 결국 우려했던 GPT를 복구하는 문제가 나왔었습니다.

다행이 강의를 보긴 봤어서 FAT32 파티션을 복구하는건 성공했는데, 다른 NTFS 파티션은 복구하지 못했습니다. ㅠㅠ

아무리 확인봐도 LBA Starting Address도 이상했고 백업본 위치를 봐도 안나오던데 복구에 성공하신분 있으신가요 ㅠㅠ

 

있다면 어떻게 하신지도 좀 늦게나마 힌트를 얻고 싶습니다...

 

(2급 시험이라 쉬울꺼라 생각했지만 의외로 시대흐름에 맞는 시나리오 내용도 나오고 여러모로 난이도가 어려웠습니다...)

답변 3

0

혹시 BR백업본을 앞에 그냥 붙여넣으신거 아니에요? 저도 처음에 그렇게 실수했어서 NTFS파티션 하나가 recovered처럼 나오는 모양이었는데, 그게 첫번째 섹터가 밀리면서 이상하게 인식되는거였거든요. 첫번째 섹터 전체 잡고 대체하는 형식으로 복구해야 깔끔하게 나오더라구요.

01001010님의 프로필 이미지
01001010
질문자

NTFS 파티션이 2개가 아니라 그럼 한 개로 잡았어야 했던 거군요... 그게 맞는거 같습니다.

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 01001010 님!

(아직 정리 중이긴 하지만)제가 알기로는 이번 23회 시험은 말씀하신대로 윈도우즈가 설치된

GTP 파티션이었으며 총 파티션은 4개, 이 중 데이터 파티션은 2개로 1개의 파티션(FAT32)만 BR이 훼손됐던것으로 알고 있습니다.(나머지 1개는 NTFS)

데이터 파티션이 아닌 나머지 2개는 윈도우즈가 설치되면서 자동생성된 파티션으로 알고 있는데
강의에서 말씀드렸던것처럼 파일시스템 확인이 안되는 파티션이 포함되어있습니다.

파일시스템이 NTFS인 파티션은 복구하지 못하셨다고 하셨는데, 그게 데이터 파티션을 말씀하시는지 모르겠습니다.

다른 분들의 말씀에 따르면 데이터 파티션 2개중 NTFS파티션은 훼손되지 않았고, FAT32 파티션만 복구를 해야했던것으로 알고 있으며,

말씀하신 내용중에 NTFS파티션을 복구를 못하셨다고 하셨는데, 해당 파티션이 NTFS라는건 다른 분들의 이야기를 듣고 아시는걸까요? 아니면 직접 확인을 하셨는데 NTFS이고 훼손됐다고 생각하시는걸까요?

만약 FTK Imager 등에서 NTFS인걸 확인하셨으나 접근이 안됐다면 그때 상황이 어떤 상황이었는지 말씀해주실수 있으실까요?

기본적으로 FTK Imager에서 파일시스템이 확인됐다면 접근이 됐을것 같은데... (아직 정리중이다보니)다른 상황이 있었는지 궁금해서 여쭤봅니다~

0

안녕하세요, 인프런 AI 인턴입니다. 01001010님께서 23회차 실기 시험에서 경험한 GPT 파티션 관련 복구 문제에 대한 질문을 해주셨네요. 이번 시험은 강의에서 말했던 내용을 기반으로 진행된 것 같습니다만, 예상치 못한 어려움이 있었던 것 같아 안타깝습니다.

GPT 파티션 복구 요령

GPT 파티션은 MBR과 비교했을 때 파티션의 시작(LBA Starting Address)과 백업본 위치가 잘못될 수 있으며, 이는 복구의 어려움을 증가시킬 수 있습니다. 일반적으로 시험에서의 GPT 복구는 다음과 같은 절차로 접근할 수 있습니다:

  1. GPT 헤더 및 테이블 백업: 디스크의 마지막에 위치한 Secondary GPT 헤더와 테이블을 검토하여 현재 파티션 정보의 정확성을 검토합니다. 만약 Primary와 불일치하면 Secondary를 참고하여 복구를 시도해 볼 수 있습니다.

  2. NTFS 파티션 복구: NTFS는 구조적으로 복구가 가능하지만, 중요한 것은 NTFS BR이나 MFT의 손상된 부분을 확인하는 것입니다. HxD 등 툴을 통해 초기 상태의 NTFS 섹션을 찾아 원래 LBA 위치를 기반으로 복구할 데이터의 일관성을 확인합니다.

  3. 백업본 검색 및 대조: HxD에서 파티션 내 존재하는 백업본을 찾고, 기존의 백업본과의 비교 작업을 통해 손상 또는 결손 부분을 대각선으로 조사합니다.

시험 중 경험하셨던 어려움은 지금까지의 디지털 포렌식 전망에서도 중요한 학습 사례로 작용할 수 있습니다. 관련하여 GPT 복구를 보다 자세히 다룬 내용을 참고하려면 다음의 QnA를 참고하세요:

  • 질문입니다. 에서는 MBR과 GPT 복구의 세부 사항에 대해 설명하고 있습니다.

  • 파티션 복구 질문있어요: 다양한 파티션 복구 시나리오에 대한 다른 수강생들의 경험과 강사의 답변이 포함되어 있습니다.

저는 질문자님의 이해를 돕고자 지식공유자의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현업에서 복잡한 상황을 다룰 준비를 위한 과정이기도 하니, 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏

01001010님의 프로필 이미지
01001010

작성한 질문수

질문하기