Startup 디스크 포렌식 이론 #1 FAT
- FAT 구조를 이해하고 데이터 위치 찾기
- FAT 구조에 따른 위치 찾기
1) MBR -> VBR 위치 찾기
ㄴ 00 00 00 80(HEX) = 128(10) 섹터
2) RS(Reserved Sector) 위치로 FAT, Root Directory 찾기
ㄴ 101A(h) = 4122(10)
ㄴ 4250 (FAT 위치) = 4122(RS) + 128(VBR 위치)
ㄴ 8320(Root Dir) = 4250(FAT 가장 앞) + (2035(0x07f3) * 2)(FAT 크기)
ㄴ 곱하기 2를 한 이유는 FAT와 FAT Mirror 두 개 이기 때문
3) Root Directory에서 Data 찾기
ㄴ 해당 예제는 파일명이 긴 예제를 넣었기 때문에 다소 혼동이 될 수 있으나 abcdefg12345678.jpg 파일임
ㄴ 0x00410080 - 0x0041009F -> 0x00410060 - 0x0041007F -> 0x00410040 - 0x0041005F 순으로 읽으면 됨
ㄴ 해당 파일 위치 = (((Cluster Hi + Low) - 2) * 8) + 현재 섹터
ㄴ 8344 섹터 = ((5-2) * 8) + 8320
ㄴ 추가로 휴지통 위치로 가려면
ㄴ 8328 = ((3-2) * 8) + 8320
- 해당 목적은 FAT 구조 이해와 위치 찾기이고 자세한 헤더의 정보들은 많은 블로그에서 확인 필요
- 생각보다 복잡하고 데이터 추출 할 수 있는 코딩도 해보는 것이 더 이해가 갈 듯...
'Computer > #Go2 포렌식' 카테고리의 다른 글
Disk Forensic 이론 #3 - NTFS 구조 (0) | 2018.09.26 |
---|---|
Disk Forensic 이론 #2 - FAT32 Time 개념 이해 (0) | 2018.09.26 |
Filesystem Recovery (NTFS) - MBR Recovery (0) | 2018.08.18 |
Filesystem Recovery (NTFS) - PeTya (0) | 2018.08.12 |
Filesystem Recovery (NTFS) - HASTATI (0) | 2018.07.22 |