self study

Startup 디스크 포렌식 실습 #1 (FAT32)

- FAT32 파일시스템 파일 카빙(BR 복구)

FTK Imager를 이용하여 이미지를 연 후 Boot Record 데이터가 "DISK Fail YAM!" 문자열로 overwrite되어 문제 발생

※ HXD 툴 활용 팁으로 이미지 파일은 단순 open이 아닌 해당 경로를 이용

  - 파일을 open 할 때 섹터 크기를 지정할 수 있고 512byte 선택

MBR: 붉은 박스가 첫 파티션의 시작위치(섹터)

63번째 섹터 위치로 이동

- 해당 Boot Record의 데이터가 없고 "DISK Fail YAM!" 문자열로 덮어씌여진 것을 확인 할 수 있음

- 해당 데이터를 복구하기 위해선 백업된 BR(BR 시작위치 + 6)을 복사하여 해당 위치로 덮어씀

Hxd 툴을 이용하여 백업된 BR(BR 시작위치 + 6)의 위치로 이동

백업된 BR을 복사하여 MBR에 정의된 첫 번째 파티션 BR 위치에 데이터를 붙여넣기

- 저장 후 FTK Imager 실행

- 파일카빙 완료

- 공부내용

1) MBR에 정의된 BR 위치 등

2) BR과 백업된 BR의 위치 등

 ㄴ http://wrkk.tistory.com/24 (BR 백업 위치 간략)

3) 툴 활용