FAT32 파티션 복구

망가진 FAT32 파티션을 복구하겠습니다.

디스크 포렌식을 하기 위해서는 포렌식 툴이 필요합니다. 대표적으로 사용할 포렌식 툴을 두가지 보면 아래와 같습니다.

HxD      -> https://mh-nexus.de/en/downloads.php

FTKImager  -> http://marketing.accessdata.com/ftkimager4.2.0

HxD에디터는 별다른 기능은 없지만 수정 및 저장에 좋으며 FTK Imager는 무료 툴로 데이터의 사전 분석이나 정보검색 및 RAM 같은 휘발성 데이터 수집이 가능합니다. FTK Imager는 현재 거의 모든 이미지 타입을 지원하며 주요 타입은 파일 시스템을 지원합니다.

망기진 FAT32파일시스템을 가진 파티션정보가 있는 덤프파일을 FTK Imager로 확인해보면 BR/VBR부분이 망가져있습니다.

먼저 MBR에 있는 파티션의 정보를 알아보도록하겠습니다.

 

80  부팅가능한 파티션

01 01 00 

0B  FAT32 파일시스템

FE 3F F4   

3F 00 00 00    LBA시작주소는 63번 섹터 

C0 3F 3C 00    3C3FC0 ->  3948480 * 512 = 2021621760 KB -> 1.88TB

FTK툴을 보면 phy sec를 보면 63번 섹터에 위치해 있는걸 확인할수있는데 실제 MBR에 있는 파티션의 정보와 동일합니다.

FTK imager에서 봤듯이 HxD에디터에서도 같은걸 볼수있습니다.

VBR이 망가져있어서 파티션의 정보가 FTK에서도 확인해볼수없는데 FAT32 파일시스템은 VBR의 백업을 가지고 있습니다.

FAT32의 VBR백업위치는 파티션 시작 섹터 + 6번 섹터에 VBR 백업본이 있습니다. 즉 여기서는 63 + 6 = 69번 섹터에 가보면 VBR의 백업본이 있습니다.

69번 섹터에 가보면 BootCood에 먼저 FAT32임을 알수있고 마지막에 시그니처를 보면 0x55AA임을 알수있습니다.

HxD에디터로 망가진 VBR인 63번 섹터로 가서 백업본이 있던 69번 섹터의 내용을 복사해서 붙여쓰기를 해서 수정합니다.

수정한 덤프파일을 FTK imager로 확인해보면 파티션 정보를 확인해볼수있습니다. 여기서 복구된 파일들은 파일카빙도 가능합니다.

툴에서 바로 가져오는것도 가능하고 HxD에디터로 정보를 가져와서 복구하는 법도 가능합니다.

파티션의 타입에 따라 백업본의 저장된 위치가 각자 다른점을 알고있어야합니다.

TIP

위에서 실험한 덤프파일을 기준으로 1~62번 섹터는 MBR Slack 으로 여기에는 대회문제일 경우 특정단서같은걸 넣어둘수있습니다.