디스크 복구 - 파티션(FAT32)

※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다.

 

파티션 복구 

하드디스크의 복구 중 가장 기본이 되는 FAT32와 NTFS 포맷의 파티션이 손상되었을 경우 어떻게 복구하는지 실습해보았다.

 

(1) FAT32  파티션 복구

FAT32  파티션이 손상되었을 경우 복구하는 방법을 아래와 같다. 

 

학습목표 : BR 영역이 손상된 파티션 복구

실습파일 : FAT_Partition.zip > FAT32 Partition Revovery.001

실습도구 : FTK Imager, HexEditor

실습결과 : FTK Imager에서 파티션 및 파일 목록 확인

 

1) GUI 형태로 파티션 상태를 확인하기 위해 FTK Imager의 File > Add Evidence Item 를 선택한다.

다음으로 Image File을 선택하고 실습파일을 선택한다.

 아래의 그림을 보면 Evidence tree 의 파티션 정보가 Unrecognized 로 나오는 것으로 보아 파티션 정보가 손상된 것을 확인할 수 있다. 

 

FTK Image로 확인한 손상된 파티션

디스크의 수정 작업을 위해 HxD로 실습파일을 불러와 보자. 이미지를 불러오기 위해서는 HxD의 Extras > Open disk images 를 선택하고 , 실습파일을 선택하여 열면 된다. 

FAT32 MBR 정보

해당 파티션 정보가 있는 64 byte는 총 1개의 파티션만이 정보가 들어가 있는 것을 확인 가능하다. 앞서 배운 파티션 테이블 정보를 토대로 분석하면 시작 주소는 [3F 00 00 00] 이다. 해당 파티션은 [0x0B]인 것으로 보아 FAT32 의 파일 시스템을 가지는 파티션이다. 그리고 부트 플래그가 80이니 부팅 가능한 파티션이다. 

 

실습 파일의 시작주소가 [3F 00 00 00] 인 것을 알아냈으니 해당 주소를 10진수로 변환 후 해당 섹터로 이동해 보자. 

해당 섹터로의 이동은 상단 우측의 Sector 내비게이터를 이용하여 63 입력 후 엔터를 치면 된다. 

  * 3F 00 00 00 = 63

아직 정상적인 BR 구조에 대해서는 배우지 않았지만 해당 섹터에 이상한 문자열로 뒤덮여 있는 것을 알 수 있다.

 * BR(Boot Record)

63 섹터

이렇게 파티션 시작 정보가 손상되었을 경우 FAT32는 어떻게 복구 가능할까?

FAT32는 파티션 시작 정보를 담고 있는 BR 정보에 파티션 시작주소의 6번째에 백업 본을 가지고 있다.

실습 파일에서 파티션 시작주소는 63이니 여기에 6을 더해주면된다. 69번 섹터로 이동하여 백업본을 확인해보자. 

정상적인 BR 정보(69번 섹터)

69번째 섹터로 이동하면 정상적인 BR 정보가 나타난다. 해당 BR 정보가 있는 69번 섹터를 복사하여 원래 시작위치인 63번 섹터에 복사하여 덮어쓰면 된다. 

붙여 넣기는 63 섹터의 첫 라인에 커서를 위치하고 Past Write(Ctrl+B)로 붙여넣어 원본 BR 정보로 덮어쓴다. 원본 BR 정보를 덮어쓴 후 ctrl+s로 저장훈 FTK imager로 보이지 않던 파티션과 파일목록들을 확인하면 된다. 

 

정상적으로 복구된 FAT32 파티션

 

 

FAT32 파티션 복구 방법 요약

1. FTK 이미지로 손상된 이미지를 확인한다.

2. 손상된 이미지를 수정하기 위해 HxD로 이미지를 열어 확인한다.

3. 파티션 테이블의 파티션 정보를 확인하여 , 부팅 가능한지 , 어떤 종류의 파일 시스템인지 , LBA 시작 주소를 확인한다.

4. 시작주소를 알아냈으니 해당 주소를 10진수로 변환 후 해당 섹터로 이동한다.

5. 파티션 시작주소에 6을 더한 곳에 가서 FAT32의 정상적인 BR정보를 확인한다.

6. 정상적인 BR 정보가 있는 섹터(512byte 만큼) 복사하여 원래 시작위치 섹터에 복사한다.