Forensics

FAT32 파티션 복구(Forensics)

오늘은 외장디스크(USB)의 형식인 fat32 형식의 파티션을 복구해볼 것이다. 1. FAT32 복구 먼저 ftk imager로 열어보았다. 이미지파일이 손상되어 나타나지 않는다. 그러면 HxD disk image모드를 실행해보자. sector(512bytes) 0에 부트코드가 끝난후 파란색 부분 부터 파티션테이블이 들어간다. 맨처음 부팅 코드가 0x80이므로 부팅가능한 이미지파일이다. 그러면 파티션 시작주소를 찾아보자. 중간에 [3f 00 00 00]이 파티션 시작 섹터이다. 파티션 정보는 리틀엔디언으로 저장되기 때문에 실제로는 섹터 3f에 있다. 3f는 정수로 63이다. 그러면 63섹터로 이동해보자. Disk Fail이라고 뜨는 것을 보니 시작 섹터가 손상되었다. FAT32는 복구 파티션이 시작섹터+..

Forensics - 하드디스크의 구조, MBR 이란?

오늘은 하드디스크의 구조, MBR에 대해서 공부 해볼것이다.(참고 : Start! 디스크포렌식) 1. 하드디스크의 구조 2. MBR 1. 하드디스크의 구조 하드디스크는 크게 6가지로 구성된다. 1. 전원 커넥터 : 전원을 공급하는 단자 2. 데이터 커넥터 : 데이터를 전송하는 단자 3. 헤드 : 데이터 읽는 역할 4. 액츄에이터암 : 헤드를 데이터가 있는 위치로 이동 5. 플래터 : 데이터 저장공간 6. 스핀들 : 플래터를 돌려주는 역할 플래터 단면은 아래 사진에서 확인할 수 있다. 트랙, 섹터, 트랙 섹터, 클러스터가 있다. 트랙 : 섹터단위의 모음이며, 원심 전체가 트랙이다. 섹터 : 물리적인 최소단위(512bytes) 트랙 섹터 : 같은 구역에 있는 섹터집합 클러스터 : 섹터 단위를 묶어 데이터의 ..