IT창고

확장 파티션에 대해 알아보겠습니다. ftk tool로 먼저 확장파티션을 확인해보면 6개의 파티션이 존재하는걸 알수있습니다.하지만 MBR의 구조를 보면 파티션의 정보는 4개의 정보만 저장할수있습니다. ftk tool로 확인된 파티션을 보면 4개가 아닌 2개가 더 존재합니다.MBR의 파티션 테이블을 확인해보겠습니다.00 04 01 00 07 03 20 32 80 00 00 00 00 90 01 00---------------------------1번 파티션 00 04 01 32 07 03 20 64 80 90 01 00 00 90 01 00---------------------------2번 파티션00 04 01 64 07 NTFS파일시스템03 20 96 80 20 03 00 00 90 01 00------..

망가진 NTFS파티션을 복구해보겠습니다. ftk tool로 확인해보면 VBR이 망가진걸 확인해볼수있습니다. VBR의 복구를 위하여 MBR의 파티션정보를 확인해봐야합니다.80 부팅가능01 01 00 07 HPFS/NTFS 파일시스템FE 3F F4 3F 00 00 00 3F -> 63번 섹터 -> LBA시작위치 C0 3F 3C 00 3C3FC0 -> 3948480 * 512Byte = 2021621760 -> 1.88TG MBR 파티션정보에서 확인해야할 정보는 LBA시작위치로 파티션의 시작위치는 63번 섹터가 됩니다. 63번 섹터에 가면 ftk tool에서 확인했던 부분을 볼수있습니다. NTFS파일시스템도 다른 파일시스템처럼 VBR백업본을 가지고 있습니다.NTFS파일시스템의 VBR 백업본 위치는 해당 파티션..

FAT32 파일시스템에 대해 알아보겠습니다.FAT(File Allocation Table)는 MS-DOS시절부터 사용되었으며 간단한 구조로 메모리카드, 디지털카메라, 플래시 메모리 등에 많이 사용합니다. FAT12 ,16, 32에서 뒤에 붙는 숫자는 표현 가능한 최대 클러스터의 수를 의미합니다.즉 FAT32는 2^28 - 12 만큼 표현이 가능한 클러스터를 가질수있습니다. FAT32의 구조를 보면 위와 같습니다. FAT형식에 따라 예약된 영역의 크기(섹터)가 다른데 12,16은 1이며 32는 32의 예약된 영역 크기를 가집니다.0, 6번 섹터는 볼륨부트섹터입니다(원본과 VBR백업본 위치) 1,7번 섹터는 FSINFO(Fike System Information) 구조체이며 2,8번 섹터는 부트스트랩(Boo..

망가진 FAT32 파티션을 복구하겠습니다.디스크 포렌식을 하기 위해서는 포렌식 툴이 필요합니다. 대표적으로 사용할 포렌식 툴을 두가지 보면 아래와 같습니다.HxD -> https://mh-nexus.de/en/downloads.phpFTKImager -> http://marketing.accessdata.com/ftkimager4.2.0 HxD에디터는 별다른 기능은 없지만 수정 및 저장에 좋으며 FTK Imager는 무료 툴로 데이터의 사전 분석이나 정보검색 및 RAM 같은 휘발성 데이터 수집이 가능합니다. FTK Imager는 현재 거의 모든 이미지 타입을 지원하며 주요 타입은 파일 시스템을 지원합니다. 망기진 FAT32파일시스템을 가진 파티션정보가 있는 덤프파일을 FTK Imager로 확인해보면 BR..

디스크의 주소 표현 방식에 대해 알아보겠습니다. CHS(Cylinder Head Sectir)는 디스크의 물리적인 주소로 과거에 사용했던 방식으며 현재는 사용하지 않습니다. 리눅스에서 fdisk -l 명령어를 입력해보면 CHS값이 나오는데 fdisk명령어는 오래전부터 사용했던 명령어리기 때문에 CHS값을 표기해줍니다. 현재 리눅스에서 CHS방식은 정확성이 떨어집니다. LBA(Logical Block Address)는 디스크의 논리적인 주소로서 섹터에 번호를 부여하는 방법입니다. fdisk -lu명령어로 LBS방식으로 확인해볼수있습니다.CHS방식보다 LBS방식이 더 자세하게 나옵니다. MBR에 대해 알아보겠습니다.MBR (Master Boot Record)은 마스터 부트 레코더로 디스크 첫번째 파티션에 위..

리눅스의 하드디스크를 조사하기 위하여 디스크 덤프 파일이 필요합니다.리눅스에는 명령어 dd가 있는데 이 명령어는 파일 변환 및 복사에 사용되는 명령어로 디스크 백업 이나 덤프파일을 생성 시 사용합니다. dd명령어는 Disk Duplicator라고도 하지만 Disk Destroyer라고도 불립니다. 명령어를 잘못하용하면 하드디스크가 손상될수있기 때문입니다.dump파일이란 디버깅 및 오류 진단이나 테스트 목적으로 사용합니다. 옵션에 대해 알아보겠습니다.if=[file] // Input Fileof=[file] // Output Filebs=[Byte] //Block Size (기본값512) 테스트를 위하여 가상머신에 하드디스크 1GB를 추가하겠습니다.파티션은 200MB, 300MB, 나머지로 3개로 나눠보겠..

이 글은 http://www.parkjonghyuk.net/의 내용을 참고하였습니다. forensic science(법과학)는 범죄의 사실을 규명하기 위해서 각종 증거를 과학적으로 분석하는 분야를 뜻합니다.Digital Forensic은 범죄 현장에서 확보한 개인컴퓨터나 서버 등의 시스템, 전자장비에서 수집할수있는 디지털 증거물에 대해 수집, 보존, 확인, 식별, 기록, 분석, 재현 등을 과학적으로 도출하는 증명 가능한 방법으로 수행하는걸 뜻합니다. 즉 Digital Forensic은 컴퓨터 관련 조사,수사를 지원하면서 디지털 자료가 법적효력을 갖도록 하는 과학적, 논리적 절차와 방법을 연구하는 학문입니다. Digital Forensic 조사의 일반원칙에 대해 알아보겠습니다. 정당성의 원칙 : 입수 증거..

하드디스크의 구조에 대해 알아보겠습니다.하드디스크란 플로피(floppy)디스크와 달리 금속판의 단단한(hard) 디스크를 사용해서 하드디스크라고 불리게 되었습니다.과거의 하드디스크의 용량은 10MB정도였으나 현재는 8TB까지 엄청나게 용량이 크게 증가하였습니다.하드디스크의 내부는 진공상태로 엑츄에이터 암이 움직이면서 플래터에서 정보를 읽어들입니다.하드디스크의 모습입니다.Power Connector(전원커넥터)는 하드디스크에 전원을 공급해주는 단자입니다.Data Connector(데이터 커넥터)는 하드디스크와 컴퓨터 사이의 데이터를 전송해주는 단자입니다.Head(헤드)는 데이터를 읽어주는 역활을 합니다.Actuator Arm(엑츄에이터 암)은 해드를 데이터가 있는 위치로 움직여주는 역활을 합니다.Flatt..