인프런 커뮤니티 질문&답변

jeb the sheep님의 프로필 이미지
jeb the sheep

작성한 질문수

디지털포렌식 입문자를 위한 디지털포렌식 전문가 2급 실기 시험대비 강의(Encase/Autopsy)

HxD로 분석한 것과 FTK-imager에서 보여주는 총 섹터 수가 서로 다를 수 있나요?

해결된 질문

작성

·

334

1

안녕하세요 이번에 파티션의 BR 분석을 복습할 겸 연습 삼아 dreamhack.io 라는 워 게임 사이트에서 받은 dd파일을 복구하고 BR 분석을 통해서 총 파티션 수, 섹터 당 바이트 수, 클러스터 당 섹터 수 등을 찾아봤는데 다른 것들은 다 맞는데 총 파티션 수만 약간의 차이를 보여서 혹시 제가 잘못 계산을 한건지 아니면 프로그램 상의 계산에서 약간의 차이가 생겨서 그런 것인지 잘 모르겠습니다.

일단 총 파티션의 수는 E0 FF 1D 00인데 이를 빅 엔디안으로 변형하면 00 1D FF E0이 됩니다.

이를 계산기로 10진수로 변형하면 1,966,048이 나오는 것을 볼 수 있습니다.

근데 FTK-imager에서는 1,966,080으로 약간의 미세한 차이가 발생하는데 혹시 이러한 현상이 일어나는 이유가 무엇인지 궁금합니다.

https://dreamhack.io/wargame/challenges/303

dd파일은 위 링크에서 받았습니다

 

수업 이외의 자료를 가지고 질문을 드려 죄송합니다

답변 1

0

nstyxn님의 프로필 이미지
nstyxn
지식공유자

안녕하세요 Jeb the sheep님!

HxD를 이용해서 확인한 FAT32 의 BR 분석은 말씀하신대로, 총섹터의 수가 1,966,048이 맞습니다.

하지만 FTK imager에서 확인한 섹터수가 32개가 더 많은 1,966,080개로 안맞아서 당황스러우실텐데요.

FTK Imager에서 확인하신 섹터의 수는 HxD의 FAT32 BR분석에서 확인한 [볼륨의 섹터수]가 아니라

[이미지의 전체 섹터수] 입니다 !

이미지의 전체 섹터수 안에 FAT32 볼륨의 섹터수가 포함이 되겠죠.

 

image 위 스크린샷을 보시면, 0번섹터인 FAT32의 BR을 복구한 뒤의 모습입니다.

FAT32의 Total sector32 항목을 계산해보면 E0 FF 1D 00 > 00 1D FF E0 으로 10진수로 1,966,048 이지만

우측 상단의 섹터 이동 바에서 이 이미지의 총 섹터수는 1,966,080임을 확인할 수 있죠?

다시 얘기하면 이 이미지는 총 1,966,080 개의 섹터로 구성이 되어있는데

그 중에서 FAT32 볼륨의 섹터가 1,966,048개를 차지하고 있다는 의미입니다.

 

image위 스크린샷은 동일한 이미지파일을 FTK Imager에서 확인한 내용인데,

Evidence Tree에서 최상단의 이미지 파일명이 선택된 상태면, 왼쪽 하단의 Properties에 [Disk]정보를 확인할 수 있습니다.

이곳은 볼륨이 아닌 디스크(이미지)에 대한 정보로 위에서 설명드린것처럼 이 이미지 안의 전체 섹터수를 확인하는 부분입니다.

헷갈리기 쉬운부분이라서 반드시 Disk에 대한 정보인지 볼륨에 대한 정보인지를 확인해주셔야해요~

 

  • 참고로 이미 섹터당 용량을 알고 있기때문에(512bytes) 이미지 파일의 전체 섹터수를 단순 계산으로도 확인할 수는 있는데, 이미지 파일의 총 용량(디스크 할당 크기가 아닌 실제 용량)이 1,006,632,960 Bytes이므로

1,006,632,960 / 512 = 1,966,080 = 총 섹터수 이렇게도 확인할 수 있으니 참고해주세요~

image

제가 올려드린 자료가 아니여도 전혀 문제없으니 궁금하신 부분이 있다면 언제든지 올려주시면 확인후에 답변 드릴게요~!

 

jeb the sheep님의 프로필 이미지
jeb the sheep
질문자

오오오!

너무 감사드립니다 단번에 이해했어요! 항상 친절한 답변 감사드립니다!

jeb the sheep님의 프로필 이미지
jeb the sheep

작성한 질문수

질문하기