다운받은 이미지 파일을 ftk imager로 열고 문제가 휴지통에 자기 책을 삭제했으니까 휴지통을 확인
다행스럽게 빠르게 답이 나왔다.
다운받은 이미지 파일을 ftk imager로 열고 문제가 휴지통에 자기 책을 삭제했으니까 휴지통을 확인
다행스럽게 빠르게 답이 나왔다.
Filesystem Recovery (NTFS) (0) | 2018.07.21 |
---|---|
Filesystem Recovery (FAT32) (0) | 2018.07.21 |
File System #3 (0) | 2014.01.14 |
File System #2 (0) | 2013.12.23 |
File System #1 (0) | 2013.10.28 |
- FAT(File Allocation Table)
그림 1) FAT Reserved 영역의 추상화한 그림(http://forensic-proof.com/archives/372)
△ 예약영역 : FAT 파일시스템의 가장 앞부분에 위치하고, 부트섹터 등 파일시스템 설명하는 데이터를 포함하고 있음
(FAT12/16) 1섹터만!
(FAT32 Only!!)부트섹터는 0,6번 섹터, FSINFO는 1,7, 부트섹터의 부트코드영역 부족시 사용하는 2,8번섹터
offset 14-15를 확인하여 섹터 수를 확인!
▶ 필수 부트 섹터 데이터(36Bytes) + 부가 부트 섹터 데이터(12,16, 32 각 다름) + 시그니처(55AA)
▶ 예약영역 구조
△ FAT : 파일의 다음 클러스터와 할당상태 식별 위한 데이터를 갖는 구조체(비할당상태(삭제):offset 0번째 1바이트로 0xE5, 0X00 임)
백업 FAT 구조체를 포함하는 영역이고 예약 영역 바로 다음 섹터에서 시작
▶ FAT 그림
그림 2) FAT 구조체
△ DATA : 파일과 디렉토리 내용 저장영역
△ 디렉토리 엔트리
▶ 각 파일과 디렉토리의 메타데이터
▶ 디렉토리 엔트리가 위치하는 영역은 Data Area임
Filesystem Recovery (FAT32) (0) | 2018.07.21 |
---|---|
USB artifacts (0) | 2014.08.14 |
File System #2 (0) | 2013.12.23 |
File System #1 (0) | 2013.10.28 |
Memory 분석 (0) | 2013.10.10 |
- 볼륨 & 파티션
● 파티션 : 연속된 저장공간을 하나 이상의 논리적으로 나누어 사용할 수 있도록 분할한 공간
● 볼륨 : 파일 시스템으로 포맷된 디스크 상의 저장 영역을 의미. OS나 응용프로그램 등에서 이용할 수 있는 저장공간, 섹터들의 집합!
※ 파티션과 볼륨의 차이
그림 1) 볼륨 & 파티션 차이
볼륨과 파티션은 같은 개념으로도 사용하지만 엄밀히 말하자면, 볼륨은 연속된 공간이 아니어도 하나 이상의 저장 공간을 부르는 것이고 파티션은 연속되어 있는 볼륨 섹터들의 집합을 말한다.
※ 일관성 검사 : 파티션을 제외한 영역에 증거가 존재하는지 조사하는 기능을 말함
- MBR(Master Boot Record)
512byte(1Sector) 크기의 구조체로 부팅을 하기 위해 가장 먼저 읽히는 곳이다.
해당 구조는 아래 그림과 같다.
그림 2) MBR 구조
- MBR 구조
Offset |
설명 |
크기 |
000h |
부트코드 |
446 Bytes |
1BEh |
파티션 엔트리 1 |
16 Bytes |
1CEh |
파티션 엔트리 2 |
16 Bytes |
1DEh |
파티션 엔트리 3 |
16 Bytes |
1EEh |
파티션 엔트리 4 |
16 Bytes |
1FEh |
시그니처( 55h AAh ) |
2 Bytes |
표 1) MBR 구조
- 파티션 테이블 엔트리 구조(MBR의 부분)
Offset |
설명 |
크기 |
00h |
파티션의 상태(00h=Inactive, 80h=Active) |
1 Bytes |
01h |
파티션의 시작 - Head |
1 Bytes |
02h |
파티션의 시작 - Cylinder/Sector |
1 Word |
04h |
파티션의 타입 |
1 Bytes |
05h |
파티션의 끝 - Head |
1 Bytes |
06h |
파티션의 끝 - Cylinder/Sector |
1 Word |
08h |
MBR과 해당 파티션 섹터 사이의 섹터 수(시작위치) |
1 Double Word |
0Ch |
해당 파티션의 섹터 수 |
1 Double Word |
표 2) MBR의 파티션 테이블 엔트리 구조
USB artifacts (0) | 2014.08.14 |
---|---|
File System #3 (0) | 2014.01.14 |
File System #1 (0) | 2013.10.28 |
Memory 분석 (0) | 2013.10.10 |
Live Response (0) | 2013.10.08 |
- 하드디스크 저장방식
● CHS 방식
◇ 하드디스크의 실린더(Cylinder), 헤드(Head), 섹터(Sector) 구조를 기반으로 물리적인 주소를 지정하는 방식. 하드디스크 용량이 커짐에 따라 사용되지 못하고 LBA 방식을 사용하게 됨.
ex) CHS(21,3,20) -> 하드디스크의 3번째 헤드를 21번째 실린더, 20번째 섹터에 위치시킴
● LBA 방식
◇ 하드디스크 내부에 존재하는 모든 섹터들을 일려로 늘어뜨린 후 논리적인 번호를 지정하는 방식
● ZBA 방식
◇ 플래터의 트랙 길이가 내부보다 외부가 더 길다는 점을 이용하여 길이가 길수록 더 많은 섹터를 할당하는 방식. 트랙의 길이마다 섹터의 수가 다르기 때문에 데이터를 읽고 쓸 때 트랙에 섹터 수를 정확히 알고 있어야함.
※ CHS, LBA의 경우 트랙의 섹터수가 모두 동일함. 참조(http://forensic-proof.com/archives/355)
- 하드디스크 숨김 영역
● HPA(Host Protected Area)
◇ 데이터를 저장할 수 있는 영역이고 일반 사용자가 볼 수 없는 영역임. 하드디스크 끝에 위치. ATA-4 추가
◇ HPA 영역을 확인하는 ATA 컨트롤러 명령어 -> IDENTIFY DEVICE(접근), SET MAX ADDRESS(설정), READ NATIVE MAX ADDRESS(접근)
READ_NATIVE_MAX_ADDRESS - IDENTIFY_DEVICE > 0 이면 HPA 존재
◇ 확인도구 : BXDR, diskstat, DRIVEID, hpa
● DCO(Device Configuration Overlay)
◇ 데이터를 저장할 수 있는 영역이면서 일반 사용자가 볼 수 없는 영역임. ATA-6 추가
◇ DCO 영역을 확인하는 ATA 컨트롤러 명령어 -> DEVICE CONFIGURATION SET(설정), DEVICE CONFIGURATION IDENTIFY(접근), DEVICE CONFIGURATION RESTORE(제거)
DEVICE_CONFIGURATION_IDENTIFY : 하드디스크 전체 크기 불러오는 명령(HPA,DCO포함)
READ_NATIVE_MAX_ADDRESS : HPA가 있는 상태면 HPA 영역의 크기를 불러오는 명령(DCO 제외)
IDENTIFY_DEVICE : 하드디스크 크기를 불러오는 명령(HPA, DCO 제외)
DEVICE_CONFIGURATION_IDENTIFY = READ_NATIVE_MAX_ADDRESS = IDENTIFY_DEVICE 이면 숨김영역이 없다는 뜻!!
◇ 확인도구 : Image MASSter Solo 2
● HPA, DCO 확인 도구
◇ The ATA Forensics Tool (TAFT) by Arne Vidstrom.
◇ EnCase for DOS by Guidance Software
◇ FTK (Forensic Toolkit) by AccessData
◇ HD Tune Pro
그림 1) HPA, DCO 구별
(http://forensic-proof.com/archives/284)
● OS, BIOS로부터 보이지 않는 HPA, DCO는 사용자에 의해 변경이 가능(Rootkit 설치 등...)
● HDD 증거 수집 시 ATA버전, HPA, DCO 지원 여부 고려가 중요
- 데이터 수집
● 컨트롤러의 직접 접근
◇ 소프트웨어로 하드디스크 컨트롤러를 통해 디스크 데이터에 접근하는 방법. 단 컨트롤러의 주소지정, 데이터 읽기&쓰기 명령어 등 세부사항을 모두 인지해야함.
● 컨트롤러의 BIOS 접근
◇ BIOS를 통해 디스크 데이터에 접근하는 방법. 섹터 주소&크기와 같은 데이터를 레지스터에 적재 후 인터럽트 명령어 0x13(INT13h) 실행
● 동적 수집
◇ 운영체제가 동작하는 상태에서 데이터를 수집하는 단계임. 시스템이 악성코드에 의해 피해를 받았을 경우 변조된 데이터를 추출할 수 있기 때문
● 정적 수집
◇ 이동장치로 부팅하여 분석 대상 시스템의 데이터를 수집함.
File System #3 (0) | 2014.01.14 |
---|---|
File System #2 (0) | 2013.12.23 |
Memory 분석 (0) | 2013.10.10 |
Live Response (0) | 2013.10.08 |
들어가며... (0) | 2013.10.07 |