인프런 커뮤니티 질문&답변

최지원님의 프로필 이미지
최지원

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

파티션복구 질문있어요

해결된 질문

작성

·

724

0

안녕하세요~ 강사님 강의 넘 유익하게 잘 듣고 있어요 

 

파티션복구에 관한 질문이 있어서요

NTFS 인데

0번섹터가 MBR이 아니고 바로 BR로 시작을 하는데

0번섹터가 깨져있는경우 어떻게 복구해야 하나요?

답변 3

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 최지원님, 먼저 수강해주셔서 감사드립니다!

문의 주신점에 대해서 답변을 드리자면,

HxD에서 이미징한 파일을 불러온 후 문자열 검색기능을 이용하여 검색하실수가 있어요.

(HxD기준) 이미지를 불러온 후에

① [찾기]-[찾기] 메뉴 클릭(단축키 CTRL+F)

② 팝업된 찾기 창에서 첫번째 탭인 [텍스트 문자열]의'ntfs' 입력, 검색방향을 '아래로' 하여 검색

  • 검색대상이 'ntfs'인 이유 : ntfs 파일시스템의 BR에는 'ëR.NTFS'라는 문자열이 포함되기때문에

    해당 문자열을 찾으면 BR을 찾을수 있겠죠?

  • 검색방향 : 전체, 혹은 아래로, 위로, 어떤 방식이든 상관은 없지만, 순서대로 보기 위해서

    0번섹터를 기준으로 '아래로'로 검색하시는걸 추천드립니다.

③ BR에 'ntfs '라는 문자열이 2개가 검색이 될텐데, 우리가 찾고자하는 내용은 당연히 해당 섹터의 맨 처음에 나오는

'ëR.NTFS'라는 문자열입니다 ! 이 문자열이 있다면 NTFS 의 BR 또는 BR의 백업본이겠죠?

 

이런식으로 검색하시면 NTFS BR 백업섹터 확인 및 복구가 가능하실거예요~

참고로 같은 검색어로 이어서 찾으시는 경우 단축키 'F3'을 누르시면 다음 검색된 결과로 바로 이동합니다~

궁금하신점이 있으시다면 언제든지 질문 주시면 확인하는대로 최대한 빨리 답변 드리겠습니다.

감사합니다 :)

최지원님의 프로필 이미지
최지원
질문자

답변 감사합니다~

그런데 혹시 NTFS로 검색했을 때 예비된 BR이 있을수도 있나요?

0번섹터가 비어있고 1번섹터에는 B.O.O.T.~~문구가 있어서 BR이 깨진걸로 보여서 NTFS로 검색했더니 BR로 보이는 섹터가 여러개가 있더라구요

그중 하나를 복사해서 Ctrl+B 를 해서 0번섹터에 붙여넣었는데 복구가 되지 않았어요

BR로보이는 여러섹터중에 하나가 백업본인거 같은데 뭔지 몰라서 복구를 못했는데, 이런경우는 어떻게 할 수 있는지 궁금합니다

 

nstyxn님의 프로필 이미지
nstyxn
지식공유자

아마 이번 19회 시험문제를 말씀하시는것 같습니다.

(정확하지는 않지만) 제가 듣기로는 MBR이 없었고, 파티션은 NTFS 단일 파티션이였으며

0번섹터인 BR이 훼손되어있었다고 들었거든요.

말씀해주신 내용을 봤을때, 아마 HxD에서 이미지를 불러왔을때 아래와 비슷한

화면이였지 않을까 싶습니다.

image

위 그림에서 보면 섹터0번은 값이 모두 00으로 채워져있고, 섹터1번에는 NTFS BR의 다음

섹터에서 확인할수 있는 'B.O.O.T.M.G.R.~'의 문자열을 확인할 수가 있고요.

먼저 0번섹터에는 MBR이나 BR 둘중에 하나가 반드시 나와야합니다.

하지만 위의 그림처럼 의도적으로 MBR이 없게 만든 상황이라면 반드시 BR이 와야겠죠?

말씀하신 것처럼 1번섹터의 문자열에 'B.O.O.T.M.G.R.~'라는 내용이 보인다면

0번섹터는 NTFS BR일 확률이 높겠죠?

그렇다면 NTFS의 BR 백업섹터를 찾아야하는데, 해당 볼륨의 마지막 섹터를 한번 보시고,

거기에도 없다면 문자열 검색을 통해서 확인을 할 수가 있습니다.

다만 말씀하신것처럼 'ntfs'로 검색시에 BR의 백업섹터가 아닌 경우에도 ntfs라는 문자열이

포함될수 있기때문에 확인이 필요합니다.

('ntfs'로 문자열 검색시에 동일한 BR섹터 또는 동일한 BR 백업섹터안에서도 2개의 'ntfs'문자열을 확인할 수 있습니다)

그래서 검색된 결과의 섹터를 자세히 보고 확인을해야하는데요,

우선 남겨주신 질문의 순서대로 답변을 먼저 드린 후에, BR의 백업본을 찾기 위해 체크해야할점을 정리해드릴게요.

1. 그런데 혹시 NTFS로 검색했을 때 예비된 BR이 있을수도 있나요?

예비된 BR이라는 말씀의 의미가, 일반적으로 볼륨의 첫번째 섹터에 BR이 존재하고

백업 BR(FAT32는 br+6번째 섹터, NTFS는 볼륨의 마지막 섹터)외에 추가로

BR이 있을수 있는지에 대해서 질문하신걸까요?(제가 정확히 이해를 못해서;)

그런 의미로 말씀하신거라면, '하나의 볼륨에는 BR과 BR의 백업본, 이 2개 외에는

없습니다.'

 

2. 0번섹터가 비어있고 1번섹터에는 B.O.O.T.~~문구가 있어서 BR이 깨진걸로 보여서 NTFS로 검색했더니 BR로 보이는 섹터가 여러개가 있더라구요

1번섹터의 'B.O.O.T.~~' 문자열을 보고 0번섹터가 NTFS BR로 추정하신것은 잘 보신것

같아요.

검색한 결과, BR로 보이는 섹터가 여러개 있었다는 말씀은 증거 USB를 어떻게 구성을 해놓

았는지 확인할 방법이 없어서 답변을 드리기에는 조금 어려운점이 있습니다.

검색한 결과가 BR로 보인다는 생각은 어떤 부분을 보고 그렇게 판단을 하셨는지 여쭤봐도

될까요?

위의 1번 질문에서 답변 드린것처럼, 하나의 볼륨에는 첫번째 섹터에 BR, 그리고 FAT32는

BR섹터+6번째 섹터와 NTFS는 볼륨의 마지막섹터에 1개의 백업본이 존재하므로 하나의

볼륨에는 'BR처럼 보이는' 섹터는 총 2개만 존재하게 됩니다.

볼륨이 여러개라면 당연히 볼륨의 수 * 2를 한 숫자만큼 나오겠죠.

BR로 보이는 섹터들의 문자열이 모두 'ëR.NTFS'로 되어있었을까요? 단일 볼륨인데 일부러

BR인것처럼 'ëR.NTFS'를 만들어 넣어서 구성하는건 2급시험의 특성상 조금 어려움이

있을것 같아서요. 아니면 'ntfs' 검색 결과가 여러개가 있었다는 의미로 하신 말씀이실까요?

말씀하신내용을 토대로 경우의 수를 따져보면,

1) 섹터 첫 줄에 'ëR.NTFS'라는 문자열을 가진 섹터들이 많이 있었던 경우라면,

① 볼륨이 최소 2개 이상이며 그 중 NTFS 파일시스템을 가진 볼륨이 존재했을 경우

- 최초 이미징후 FTK Imager 등에서 확인했을때 확인된 파티션의 수를 보면 알수있겠죠?

② 출제자가 난이도를 높이기 위해서 고의로 'ëR.NTFS'라는 문자열을 추가한 경우

- 2급특성상 이렇게 만들진 않았을것 같아요.

 

2) 검색결과 'ntfs' 문자열이 여러개 확인됐던 경우라면,

① NTFS의 BR 또는 BR의 백업섹터의 OEM ID인 경우 -> 우리가 찾고자하는 내용

② NTFS BR 또는 NTFS BR 백업본의 내용인경우

- 아래 그림처럼 단순히 BR의 내용 중 일부분인 경우입니다.

image

 

③ BR이나 BR 백업본과 상관없이 단순한 데이터값일 경우

- 단순한 데이터 값인데 마침 값이 '4E 54 46 53'이여서 NTFS로 문자열에 나오는 경우

④ 출제자가 난이도를 높이기 위해서 고의로 특정 값을 '4E 54 46 53'으로 변경해서

문자열에 'NTFS'로 나오게 한 경우

 

이정도이지 않을까 싶습니다.

 

만약 볼륨이 하나밖에 없고, 0번섹터인 BR은 훼손되어있었으며, 위의 2)-③의경우처럼

단순 데이터 값의 경우가 아니라면 ntfs로 문자열 검색시에는 딱 2번만 검색이 걸려야합니다(BR의 백업섹터에서 첫줄의 OEM ID 부분과 중간 각 1번씩)

그런데 2번을 초과해서 검색이 됐다면 단순 데이터 값으로 'ntfs'라는 문자열을 갖는 섹터

일수도 있고, 출제자가 고의로 변경해놓은 값일수도 있겠죠.

 

 3.  그중 하나를 복사해서 Ctrl+B 를 해서 0번섹터에 붙여넣었는데 복구가 되지 않았어요.  BR로보이는 여러섹터중에 하나가 백업본인거 같은데 뭔지 몰라서 복구를 못했는데,  이런경우는 어떻게 할 수 있는지 궁금합니다

Ctrl+B 는 V의 오타이신거죠? ;)

과정은 맞게 하셨습니다. NTFS BR의 백업 섹터를 확인 한 다음, 해당 섹터 전체(512bytes)를 복사 하신 후 BR이 있어야할 0번섹터에 [덮어쓰기] 하신 후에 저장하시면 복구가 되어야 맞습니다.

다만 그렇게 했음에도 불구하고, 복구가 안된 경우라면

1) 0번섹터에 붙여 넣은 내용이 BR의 백업섹터가 아닌경우

- 당연히 복구가 안되겠죠

2) 붙여넣을때 [덮어쓰기]를 하지 않은 경우

- 덮어쓰기를 하지 않으면 섹터들이 밀리게 되면서 정상적으로 인식이 되지 않습니다.

예를들어서 볼륨을 인식하는데 필요한 내용이 100번 섹터에 있어야하는데, 덮어쓰기가

아닌 삽입의 형태로 붙여넣기를 한다면 덮어쓰여졌어야할 내용이 뒤로 밀리게 되면서

100번 섹터에는 엉뚱한 데이터가 있을테니까요.

3) 그외에 저장이 제대로 안됐거나 등의 단순 실수

 


 

* 정확한 NTFS BR의 백업을 찾기 위해서 확인할 내용

1. 문자열 검색시에 'NTFS' 대신 'NTFS '(NTFS+공백4칸)으로 검색해보세요

image - NTFS의 BR 문자열을 확인해보면 'ëR.NTFS '으로 공백이 4칸 포함되어있습니다.

이렇게 검색을 하신다면 'ntfs'로 검색할 경우보다는 조금 더 정확히 찾을 확률이 높아질수

있겠죠?

 

2. BR의 백업본으로 보이는 섹터 발견시 확인할 내용

1) 섹터 첫 3Bytes(첫번째줄 3자리)의 값이 'EB 52 90'(문자열 ëR.)의 점프 코드가 있는지

확인

2) 섹터 첫번째 줄에 '4E 54 46 53'(문자열 NTFS) + '20 20 20 20'(공백4칸)이 있는지

확인

image

3) 섹터 마지막 2Bytes가 '55 AA'(문자열 'Uª')라는 시그니처가 있는지 확인

4) 섹터 하단 문자열에 'A disk read error occurred...BOOTMGR is complressed...Press Ctrl+Alt+Del t restart' 라는 메시지가 보이는지 확인

image

위의 방법으로 확인하시면 BR의 백업 섹터인지 아닌지를 조금 더 확실하게 확인하실수 있을것 같습니다.

그리고 BR의 백업 섹터를 찾으신 다음에는, 아시는것처럼 아래의 내용도 확인해주시면 좋습니다.

3. 백업 섹터의 값 전체를(512Bytes) 복사한 후 훼손된 BR의 자리에 붙여넣을시에

[덮어쓰기] 확인 !

4. 마지막으로 저장확인!

- 저장시에는 혹시모를 실수로 인해서 다시 이미징 해야하는 수고를 덜기 위해서 다른이름

으로 저장해주세요

 

※ 참고로, 백업섹터로 의심되는 여러개의 섹터를 발견했고, 어느것도 확신이 들지 않는다면...

(너무 많지 않다는 전제하에,) 각각의 섹터를 한번씩 0번섹터에 붙여넣고 다른이름으로 저장해서 FTK Imager 등을 이용하여

볼륨이 정상적으로 인식이 되는지 확인하는 방법도 있습니다.

물론 BR의 구조를 정확히 이해하고 제대로 찾을수 있는게 당연히 중요하겠죠. 다만 시험에 한해서, 정말 어떤 방법도 어렵다면

최후의 수단일뿐, 권장하진 않습니다 ^^;

해당 이미지를 직접 봐야 정확히 답변을 드릴수 있을텐데, 정확한 답변을 드릴수 없는점 죄송하게 생각합니다.

도움이 되셨으면 합니다 !

 

 

 

0

같이 시험본 친구에게 확인해보니깐 NTFS 파티션 하나가 있었고 MBR 영역이 BR이 와서 훼손된 상태였다네요

nstyxn님의 프로필 이미지
nstyxn
지식공유자

soul_deep 님!

답변 감사합니다. MBR이 없는 NTFS 단일 파티션이였다는 말씀이시죠?

그렇다면 NTFS로 검색에 걸리는게 많아서 정확한 백업본을 찾기가 어려웠기때문에 복구가 어려우셨던게 아닌가 싶은데요, 관련내용 준비해서 추가 영상 올려드릴게요. 아마 1-2일정도 걸릴것 같습니다 ~

0

항상 좋은 강의 감사드립니다.

이 부분은 저뿐만 아니라 많은 학생들이 궁금해 할 것 같은데 MBR이 없는 상태로 바로 BR일 경우 파티션 복구하는 강의 한편 올려주시면 안될까요??

19회 시험에 섹터 시작위치를 못찾아 백업본을 확인할 방법이 없었습니다. 정확히는 기억이 나지 않지만 NTFS를 검색하면 여러 개의 ëR.NTFS 문자열이 검색 된거 같습니다.

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 soul_deep 님!

답변을 드리기에 앞서서 정확한 답변을 드리고자 우선은 19회 시험시에 증거 usb의 상태에 대해 질문을 드리려고 합니다.

  1. 이미징후에 ftk imager에서 불러왔을때 어떻게 보이셨을까요?

2. 0번섹터는 값이 없이 00 00 00 등으로 채워져있었을까요?

  1. 0번섹터가 MBR이 아닌 BR이라고 판단하신 근거는 어떤것이 있을까요?

  2. 문자열 검색시에 ëR.NTFS 라는 문자열이 대략 몇개정도 확인되셨을까요?

    그리고 해당 문자열이 있는 섹터의 다른 문자열에는 어떤 내용이 있었나요?

  3. ëR.NTFS 검색해서 나온 결과들이 각 섹터당 1개씩만 있었을까요?

    아니면 동일한 섹터내에서 ëR.NTFS이 여러개 검색이 되셨을까요?

제가 해당 증거를 직접 보지 못하다보니 정확히 어떤 상태였는지를 파악을 할수가 없어서

궁금하신내용에 대해 정확히 답변을 드리기가 어려워서요;

일반적인 검색 후 복구 방법에 대해서 영상을 올려드리는건 어려운일이 아닌데

그걸로는 궁금해하시는 부분을 해결을 못할것 같아서 자세히 알아봐야할것 같아 질문드립니다.

19회 시험시에 0번섹터에 MBR이 아닌 br이 왔는데 0번섹터가 00 00 등으로 채워져있는 등 훼손이 된 상황은 충분히 가능할텐데, 파티션이 여러개인것처럼 보이는 상황은 조금 특이한 것 같아보입니다. 가능은 하지만 2급 시험임을 감안해봤을때 너무 어려운 것 같다는 생각이 들며,

만약 파티션은 단일 파티션이고 0번섹터에 BR이 있으며, BR이 훼손된 상황이라면

일부러 ëR.NTFS라는 값을 집어넣어서 찾기 어렵게 만든 상황이 아닐까 싶은데요

그런 경우라면 검색된 ëR.NTFS 문자열이 있는 섹터의 다른 문자열등을 보고

이 섹터가 정말 NTFS BR이 맞는지 판단을 한 뒤에 맞다면 0번섹터에 복사-붙여넣기를

통해서 복구하는 방법으로 해결을 할수는 있는데...

우선 기억나시는거 작은거라도 말씀해주시면 감사하겠습니다 !

 

최지원님의 프로필 이미지
최지원

작성한 질문수

질문하기