Filesystem Recovery (NTFS)

Startup 디스크 포렌식 실습

FAT32와 마찬가지로 Volume Boot Record의 Overwrite 된 데이터를 백업 데이터를 이용하여 복구

- NTFS MBR

☞  07: NTFS를 나타내는 Signature

☞  00 00 00 3F(Little Endian): MBR로부터 떨어진 BR의 위치(시작지점)

☞  00 3C 3F C0(Little Endian): 파티션의 섹터 수(파티션의 끝 위치가 아님)

- NTFS Boot Record

☞ BR의 시작위치로 FAT32 실습했던과 마찬가지로 다른 문자열에 의해 Overwirte 됨

☞ NTFS의 BR 백업은 해당 파티션 섹터의 마지막에 위치

☞ MBR 그림의 3번 째 붉은 박스에 해당 파티션의 섹터 수를 이용하여 BR 백업 데이터를 찾음

☞ 파티션의 섹터 수는 003C3FC0(3,948,480(10진수))고, 파티션의 섹터 수이기 때문에 첫 BR부터 해당 섹터수를 더해야 파티션의 끝을 알 수 있음

☞ 00 00 00 3f + 003c3fc0 = 003C3FFF (3,948,543)

☞ 해당 섹터 수에서 -1을 함(이유는 섹터는 0부터 시작)

- NTFS Backup Boot Record

☞ 해당 섹터를 복사하여 붙여넣기 후 저장