인프런 영문 브랜드 로고
인프런 영문 브랜드 로고

인프런 커뮤니티 질문&답변

수석반장님의 프로필 이미지
수석반장

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

[Autopsy]Autopsy를 이용한 파티션 복구

질문입니다.

해결된 질문

작성

·

271

0

파티션 복구 시

 

mbr 없이 br만 나오는 경우, 0번 섹터가 훼손되어 백업본을 찾기 위해 ntfs로 검색 시 수천개의 ntfs라는 키워드 검색 결과가 나오면, 강의에서 말씀하신 것 처럼 er ntfs가 decoded text 맨앞에 나오는 것을 찾아야하는지

 

그리고 만일 이러한 er ntfs가 decoded text 맨앞에 나오는 것이 여러개 존재 (ntfs의 다중 파티션이라고 가정하면 )하는 경우 어떻게 복구해야할까요

 

전 시험에서 비트라커를 몰라서 문제를 해결하지 못하였는데 그때 보았던 이미지 파일의 hex 값이 위 와 같은 유사한 상황이었던것으로 기억나서 질문드립니다.

답변 2

1

수석반장님의 프로필 이미지
수석반장
질문자

사전에 ftk 이미저로 시작 섹터 등 확인하여 제외할 생각은 미처 못하였네요... 답변 감사합니다!!!

nstyxn님의 프로필 이미지
nstyxn
지식공유자

하나 꼭 기억하실게, ftk imager에 나온 정보를 100% 믿지는마세요. Ftkimager에서 보여주는게 프로그램 오류가 있을수있다는 얘기는아니고요, ftk imager는 mbr과 br에 각각의 값을 그대로 가져와서 보여주는 역할만하다보니, 출제자가 고의로 해당값들을 변조한경우라면 시작섹터가 엉뚱하게 나올수있습니다. 이럴경우 왜 안맞지? 하면서 멘붕이 올수있는데 어디까지나 참고만하시고 아무리봐도 맞지않다는 생각이 드시면 고의로 훼손했을 가능성도 있으니 그럴경우에는 hxd에서 검색해서 나온 섹터들중 백업본으로 의심가는 섹터를 br자리에 붙여놓고 다른이름으로 저장해서 맞는지 수동으로 확인하셔야합니다!

1

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 수석반장님!

말씀하신대로 MBR이 없는, 0번섹터에 BR로 바로 시작하는데 BR이 훼손되었을 경우에는 가장 먼저 봐야할 부분은 이 파티션의 파일시스템이 FAT 인지, NTFS인지 입니다.(질문에서는 FAT이 아닌 경우로 정해서 물어보신것 같은데, 전체적으로 말씀드릴게요)

 

  1. 0번 섹터가 BR이라면, 파일시스템 확인

1) 가장먼저 FAT이라고 가정하고 0번섹터 + 6번 섹터 뒤로 가서 FAT BR 백업본이 있는지 확인

 

2) 있다면 해당 파티션의 파일시스템은 FAT이고, 복구를 위해 백업본 복사 후 0번섹터에 덮어쓰기.

 

 

  1. FAT이 아닐경우 NTFS의 BR 백업본 찾기

1) HxD의 찾기(검색기능)-텍스트 문자열에서 'ntfs '(ntfs이후 공백 4칸 포함)하여 모두검색

 

2) 검색결과창에서 나오는 섹터들을 확인(섹터의 시작이 er ntfs 로 시작하는 지 등)

 

3) 백업본으로 생각되는 섹터가 있는 경우 해당 섹터를 복사하여 BR자리에 덮어쓰기 후 FTK Imager로 확인

 

 

  1. HxD 검색시 NTFS 파티션의 BR 백업본으로 보이는 섹터가 복수일 경우

1) (검색결과에 나온 섹터들 확인시 'er ntfs'가 섹터 처음에서 시작하지 않는 경우 모두 제외하고) BR의 백업본

으로 의심되는 섹터가 다수일 경우, 먼저 해당 이미지에 NTFS 파티션이 여러개인지 확인(HxD에 이미지를

불러오기전에 FTK Imager에서 미리 확인하고 오면 더 편하시겠죠?)

 

2) FTK Imager에서 NTFS 파티션이 여러개라면, 각각의 NTFS 파티션의 시작섹터와 섹터수를 확인

 

3) FTK Imager에서 확인한 정상적인 NTFS 파티션들의 시작섹터와 마지막섹터를

HxD에서 검색하여 나온 섹터 번호를 비교하여 제외시키고 남은 섹터를 백업본으로 보고, 복사하여 BR이

있어야하는 섹터에 덮어쓰기 후 저장하여 FTK Imager에서 확인

 

이런식으로 검색결과에서 제외시키면서 확인을 하실수 있습니다.

중요한점은, 하나의 파티션에는 항상 BR과 그 뒤에 BR 백업본의 '한 쌍'이 존재하기때문에

다중파티션이라고해도 HxD에서 검색결과에서 한 쌍으로 짝을 지어서 확인하면 어딘가 1개가 부족한 곳이 보일테고, 섹터번호 순서대로 보시면 어딘가 짝이 없는것을 확인 가능하실것 같습니다.

 

 

수석반장님의 프로필 이미지
수석반장

작성한 질문수

질문하기