728x90
반응형
오늘은 외장디스크(USB)의 형식인 fat32 형식의 파티션을 복구해볼 것이다.
1. FAT32 복구
먼저 ftk imager로 열어보았다.
이미지파일이 손상되어 나타나지 않는다.
그러면 HxD disk image모드를 실행해보자.
sector(512bytes) 0에 부트코드가 끝난후 파란색 부분 부터 파티션테이블이 들어간다.
맨처음 부팅 코드가 0x80이므로 부팅가능한 이미지파일이다.
그러면 파티션 시작주소를 찾아보자. 중간에 [3f 00 00 00]이 파티션 시작 섹터이다.
파티션 정보는 리틀엔디언으로 저장되기 때문에 실제로는 섹터 3f에 있다.
3f는 정수로 63이다. 그러면 63섹터로 이동해보자.
Disk Fail이라고 뜨는 것을 보니 시작 섹터가 손상되었다.
FAT32는 복구 파티션이 시작섹터+6 에 있다.
즉 63 + 6 = 69 섹터에 있는것이다. 그러면 69번 섹터로 이동해보자.
이 위치에 복구 파티션이 있는걸 확인할 수 있다.
그러면 69섹터를 전부 복사해서 63 섹터에 past write를 하고 저장하면 된다.
주의 ! : past write(ctrl+b) 할때는 섹터 맨 처음 라인에 첫번째같에 커서를 둔다.
저장을 하면 백업 파일(.bak이 붙음)을 만들며 저장된다.
그러면 ftk imager로 저장된 파일을 열어보자.
728x90
반응형
'Forensics' 카테고리의 다른 글
| UMDCTF(writeup) - HHJ (0) | 2022.03.07 |
|---|---|
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log (0) | 2022.03.04 |
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis (0) | 2022.03.04 |
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형 (0) | 2022.03.04 |
| Forensics - 하드디스크의 구조, MBR 이란? (0) | 2021.09.04 |