해결된 질문
작성
·
672
0
디지털포렌식 전문가 2급 실기편 기출문제를 풀다가
당황스러운 부분이 있었습니다. 저는 초보자다보니까..
USB의 경우는 파티션을 나누지 않는 경우 VBR부터 시작한다 라고 설명하는데요.. 저는 초보다 보니까 MBR 복구 인줄 알고 풀었네요, 판단한 이유는 처음 FTK이미저로 확인하니 파티션이 4개로 잡혀 있었습니다. 그리하여 DD파일을 생성 HEX로 분석하였는데요55 AA에서 4개씩 끊어서 131344 로 시작섹터와 총섹터수를 계산하는데.. 안맞아서 당황했습니다.
질문은
VBR과 MBR구분방법
FTK이미저에 파티션 4개로 나온건데 이건? 헷갈리게 할려는 수작인가?
이해하셨는지 모르겠네요~ 항상 감사합니다~
답변 4
1
0
추가적인 질문사항인데.. 기출문제를 풀어보고 증거분석을 하고 있습니다. 출간한 문제집..
대충 어느정도 맞는 증거를 찾아가고 있는데..
오늘은 파일이 손상된 .hwp파일에 시그니처도 이상이업고 파일은 깨져나와서.. 이건 안닌가보다 했는데요..
교재답안에는 KFOLT 정상적인 문서파일이 아니더라도 내부에 존재하는 문자열이 있다면 해당문자를 볼수 있도록 코드페이지를 설정하고 내용을 확인해볼수 있다.. 라고 하는데요... 확인도 가능하고요... 우리가 배운 AUTOPSY, FTK, REGAL, LNK, HXD에 그런걸 볼수 있는 방법이 있나요?
한글로 된 문자열의 경우 인코딩 문제로 문자열의 내용이 확인되지 않는 경우가 있습니다.
말씀해주신 프로그램(EnCase를 제외한 우리 강의에서 사용하는 프로그램들)에서는 별도의 코드페이지(텍스트 인코딩)를 변경하는 기능은 지원하지 않는 것으로 알고 있습니다.(HxD는 있긴하나, 지원되는 부분이 극소수라 사실상 우리에게 의미는 없죠)
다만 어떤 내용을 말씀하시는지는 알 것 같습니다.
Autopsy에서 해당 실습 이미지 파일을 불러온 후, 책에서 설명한 해당 파일을 선택을 하시면 하단에 [Text]-[Indexed Text]탭에서 식별가능한 문자열이 있는 경우 확인을 하실수 있습니다.
말씀하시는 파일의 내용이 아래 내용이 맞으시죠?
이런 방법으로 확인을 하시면 될 것 같습니다
0
0
안녕하세요 mmshk1님.
우선 말씀하시는 내용이 한국포렌식학회 검정시험관리본부에서 발간한 [디지털포렌식 전문가 2급(국가공인) 기출문제]에 담겨져있는 실습파일을 말씀하시는걸까요?
답변을 드리려면 해당 이미지 파일을 직접봐야 말씀을 드릴수 있긴한데...
정확히 어떤 실습문제(해당 문제의 목차상 제목)에 해당하는 이미지인지 확인이 가능하실까요?
또한 질문주신부분에 대한 답을 일부라도 드리자면,
1. VBR과 MBR 구분방법
이 부분은 섹션 5. 파일시스템 강의 내용인 MBR 분석 / FAT32&NTFS BR 분석 내용과
섹션 14. 보충강의의 NTFS 파티션 BR 복구 강의를 한번 더 확인해보시는게 좋을것 같습니다.
간단하게나마 가장 큰 부분을 말씀드리자면,
OEM ID로 구분가능합니다.
BR의 경우 섹터 첫 줄에 OEM ID인 각각 eX MSDOS5.0(FAT32) / eR NTFS(NTFS)를 확인가능
MBR의 경우 섹터 첫 줄에 우리가 알아볼만한 문자열이 없음
또한 MBR인 경우라면 섹터 끝의 55 AA 시그니처 앞으로 16자리씩 4개의 파티션 테이블을 확인할 수 있으며
파티션 테이블의 내용을 분석해서(+FTK Imager에서 확인한 내용과 비교) 각 파티션의 시작섹터 등의 위치가 맞다면 확인한 내용은 파티션 테이블이고, 그러므로 해당 섹터는 MBR이다라는 결론으로 갈 수 있습니다.
간단하게나마 말씀드렸는데, 해당 내용은 MBR과 BR에 대한 내용을 조금 더 보시면 이해하시는데 도움이 되실것 같고요.
참고로 문제를 푸시다가 MBR이라고 판단하신 근거가 실습파일로 제공된 e01을 ftk imager에서 확인했을때 파티션이 4개로 나와있었고(모두 정상적으로 접근이 가능하거나, unrecognized file system 이거나, recovered 였을까요? 다른 내용도 있었을까요?), 그래서 실습파일로 제공된 [e01]파일을 DD로 다시 이미징 하셨다는 말씀이실까요?
질문드린 내용에 대해서 말씀해주시면 다시 답변 드리도록 하겠습니다~
답변 감사합니다.
실습파일로 제공된 e01을 ftk imager에서 파티션이 4개 나왔고, unrecognized file system이라 표시되어 있었습니다. 그리하여 MBR이 훼손되었구나라고 생각하고 55 AA시그니처 앞으로 4개의 파티션 테이블 확인하였고 시작섹터와 총섹터수를 확인하고 시작섹터를 계산하니 FTK이미저에서의 총섹터수보다 훨씬넘어서는 시작섹터가 나왔습니다. 이상해서 마지막 강의처럼 NTFS__검색하니 마지막 섹터에 55 AA 및 NTFS__가 보여서 그냥 처음 섹터에 붙여넣기 하였더니 복구되었네요..
제가 처음에 당황했던건 FTK에서 4개의 파티션으로 나오는데.. 시작섹터, 총섹터수를 확인하고 NTFS, FAT32의 백업을 찾아서 복구시키는 방법으로 알고 있었는데. 달라서 좀당황스러웠습니다.
캡쳐해서 보여드리고 싶으나.. 제가 사진촬영이 제한되는 장소이다보니... 아래 에
HXD에서 섹터 첫 줄에 This USB is damaged....이렇게 되어있었습니다.
항상 궁금한사항 알려주셔서 정말 많이 도움됩니다~ 감사합니다.
이 곳에 답변 드리기는 조금 내용이 길긴한데, 그래도 다른 방법이 없어서 길더라도 이 곳에 설명 드릴게요.
우선 해당 e01파일을 FTK Imager에서 불러와서 확인했을때 아래와 같이 총 3개의 파티션이 확인되며 순서대로 파티션 4번, 파티션 1번, 파티션 2번이 보입니다.
각각의 파티션 정보(시작섹터, 섹터수)를 확인해보면 파티션4번(27,722,122 / 447) 파티션 1번(1,920,221,984 / 1,816,210,284), 파티션 2번(1,936,028,192 / 1,953,653,108)로 확인됩니다.(용량이 0MB이거나 거의 1TB정도 되는 누가봐도 이상한 용량이죠?)
그래서 dd파일을 hxd에서 불러와서 보면 아래와 같은 화면을 확인하실수 있어요
0번섹터에 처음에는 This USB is damaged 라는 문자열이 보이고
1번섹터 처음에는 BOOTMGR $I30이 보이죠?
1번섹터에 저런 내용이 온다는건 그 앞섹터(0번)가 NTFS의 BR이라는 것으로 보고 접근을 해야겠죠?
그렇다면 0번섹터에는 MBR이 아니라 BR이 와야하는, MBR 없는 구조로 나와야할것 같은데 FTK Imager에서 확인시에 파티션 3개가 보였으니 0번은 MBR인지 아닌지 헷갈릴수 있습니다.
우선 1번섹터에서 NTFS의 BR 다음섹터에 나오는 내용이 있었으니 0번섹터는 BR로 보는게 맞을텐데 파티션 3개가 보였으니 확인을 한 번 해보죠.
만약 0 번섹터의 마지막 55 AA 이전 64바이트가 파티션 테이블이라면 계산을 해보면 되겠죠?
첫번째 파티션 테이블은 0x 00 / 0D 0A 50 / 72 / 65 73 73 / 20 43 74 72 / 6C 2B 41 6C 이니, 시작섹터는 20 43 74 72(리틀엔디언) -> 72 74 43 20(빅엔디언)이고 이를 10진수로 하면 1,920,221,984 , 총 섹터의 수는 6C 2B 41 6C(리틀) -> 6C 41 2B 6C(빅) -> 1,816,210,284(10진수)로 두개의 값이 FTK Imager에서 확인한 파티션 1번의 시작섹터/총섹터수와 동일합니다.
두번째 파티션 테이블은 0x 74 / 2B 44 65 / 6C / 20 74 6F / 20 72 65 73 / 74 61 72 74이며, 시작섹터는 20 72 65 73(리틀) -> 73 65 72 20(빅) -> 1,936,028,192(10진수), 총섹터수는 74 61 72 74(리틀) -> 74 72 61 74(빅) -> 1,953,653,108(10진수)로 이 역시 FTK Imager에서 확인한 파티션 2번의 시작섹터/총섹터수와 동일하며,
FTK Imager에서 봤을때 순서대로 파티션4, 1, 2를 확인했었죠? 여기에서 보이는 파티션의 번호는 MBR의 4개의 파티션 테이블 중 순서대로 번호가 들어간거여서 파티션4는 네번째 파티션테이블을 확인해야합니다.
네번째 파티션 테이블은 0x 00 / 00 00 00 / 00 / 00 00 00 / 8A 01 A7 01 / BF 01 00 00, 시작섹터는 8A 01 A7 01(리틀) -> 01 A7 01 8A(빅) -> 27,722,122(10WLSTN), 총섹터수는 BF 01 00 00(리틀) -> 00 00 01 BF(빅) -> 447(10진수)로 FTK Imager에서 확인한 파티션 4번의 시작섹터/총섹터수와 동일합니다.
정리하면 FTK Imager에서 봤던 파티션들의 시작섹터와 총섹터수는 우리가 MBR의 파티션테이블인가하고 봤던 내용을 그대로 계산해서 보여주는건데, 앞서 1번섹터에 BOOTMGR $I30등의 문자열을 봤을때 0번섹터에는 NTFS의 BR이 와야 정상일텐데, 만약 우리가 봤던 0번섹터가 MBR이라고 하면 그것도 이상하죠. BR이 있을 자리가 없으니까요.
결론적으로 이 이미지는 MBR이 없는 이미지입니다. MBR이 없으니 당연히 0번섹터에는 BR이 와야하고 그렇기 때문에 1번섹터에 NTFS의 BR 다음섹터에 오는 내용들이 보이는거고요.
다만 혼선을 주기 위해서 BR이 있을자리를 MBR처럼 보이게 해놨고, FTK Imager에서 확인시 훼손시켜놓은 BR의 내용이 MBR의 파티션 테이블로 인식해서 이 내용을 보여줬을 뿐입니다.
1번섹터에 어떤 내용이 있는지가 큰 힌트인 셈이죠.(추가로 FTK Imager에서 확인한 파티션들의 용량, 파티션4부터 시작되는 순서 등)
여러 단서들을 종합해서 0번섹터가 MBR이 아닌 NTFS의 BR이 와야한다는 결론이 났다면 이제 NTFS BR의 백업섹터를 찾아야겠죠? 아시는것처럼 NTFS+공백4칸 등으로 문자열 검색을해서 찾은 섹터를 복사 후 BR이 있어야할 0번섹터에 붙여넣고 저장을 하면 복구를 하실수 있습니다.