사용도구 : FTK imager 3.4.0.1, win hex
1. FTK imager 도구를 통해 MBR의 일부 데이터가 손상이 되어 PC내에 저장되어 있는 자료를 확인 할 수 없는 것을 확인 할 수 있다.
2. MBR 정보를 보면, 단일 파티션으로 해당 파티션은 부팅이 가능하며, FAT32 파일 시스템 인 것을 확인 할 수 있다.
* Tip
[FAT Filesystem MBR 구조]
------------------------------------------------------------------------------
Boot code = 446 byte
------------------------------------------------------------------------------
partition table = 64 byte(16byte * 4)
(1개 partition table은 16byte 이며, 총 4개의 partition table이 있다.)
------------------------------------------------------------------------------
signature = 2 byte
------------------------------------------------------------------------------
총 512 byte
[partition table 구조]
1 byte(부팅가능 여부) : 80
3 byte(CHS 시작주소) : 01 01 00
1 byte(파일시스템 타입) : 0B
3 byte(CHS 끝나는 주소) : FE 3F F4 3F
4 byte(파티션 시작주소/VBR) : 3F 00 00 00
4 byte(해당볼륨 섹터 수) : C0 3F 3C 00
VBR 위치가 3F 00 00 00 이다. VBR 위치(몇번 섹터)인지 알기 위해서는 16진수인 3F 00 00 00을 10진수로 변경 해야 한다. 여기서!! 리틀엔디안으로 읽어서 변환해야 된다. 3F 00 00 00이 리틀엔디안으로 00 00 00 3F 이니 3F는 10진수로 63이 될 것이다.
3. 해당 파티션의 시작 위치인 63번 섹터로 이동했으나, 파티션 손상으로 인해 DISK FAIL YAM! 으로 변경되어 있다. 파티션이 손상이 되었으니 백업 섹터로 이동하여 데이터를 덮어 씌어주면 된다. FAT 파일시스템의 백업 위치는 VBR 위치에서 6번째 뒤 섹터에 백업본이 존재 한다.
63(파티션 시작주소) + 6 = 69(백업 위치)
4. 69번 섹터로 이동하면, 63번 섹터에 손상되기 전에 있었던 데이터 값을 확인 할 수 있다.
5. Win hex를 이용하여 69번 섹터에 있던 데이터를 손상된 63번 섹터에 데이터를 덮어 씌운 뒤 저장하고 FTK imager 도구를 사용하여 복구 성공 여부를 확인한다.
6. 복구성공
'디지털포렌식' 카테고리의 다른 글
| 디지털포렌식_스테가노그래피 복원 (0) | 2018.04.28 |
|---|---|
| 디지털포렌식_웹 브라우저(Internet Explore) 사용 흔적 분석 (0) | 2018.04.26 |
| 디지털포렌식_USB 흔적 조사 (0) | 2017.08.17 |
| 디지털포렌식_디지털포렌식의 정의 (0) | 2017.08.17 |
