Forensic/기초 (6) 썸네일형 리스트형 디스크 복구 - 3.20 악성코드 감염 MBR 복구 보호되어 있는 글입니다. 디스크 복구 - 다중 파티션 이해 ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 이번에는 단일 파티션이 아닌 다중 파티션에 대해 알아보자. 파티션 테이블에는 총 4개의 파티션 정보가 저장된다고 했는데 4개가 아닌 여러개일 경우 어떻게 저장되는 걸까? 다중 파티션일 경우 파티션 테이블 관리를 어떻게 할지에 대해서 알아보자. 학습목표 : 다중 파티션의 구조 이해 실습파일 : Ex_Partition.zip > Ex_Partition.001 실습도구 : FTK Imager, HexEditor 실습결과 : 다중 파티션의 구조와 파티션 테이블 이해 파티션 테이블을 확인하는 것은 앞서 정리한 내용과 비슷하지만 문제는 파티션이 4개 이상일 경우이다. 5번째 파티션 정보는 어디에 저장될까? HxD로 확인해보면 마지.. 디스크 복구 - 파티션(NTFS) ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 파티션 복구 하드디스크의 복구 중 가장 기본이 되는 FAT32와 NTFS 포맷의 파티션이 손상되었을 경우 어떻게 복구하는지 실습해보았다. (1) NTFS 파티션 복구 NTFS 파티션이 손상되었을 경우 복구하는 방법을 아래와 같다. 학습목표 : BR 영역이 손상된 파티션 복구 실습파일 : NTFS_Partition.zip > NTFS Partition Revovery.001 실습도구 : FTK Imager, HexEditor 실습결과 : FTK Imager에서 파티션 및 파일 목록 확인 FAT 32 파티션 복구와 차이가 있다면 FAT32와 같이 해당 파티션 정보는 가지고 있으나, 파티션의 시작 부분이 손상된 경우이다. G.. 디스크 복구 - 파티션(FAT32) ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 파티션 복구 하드디스크의 복구 중 가장 기본이 되는 FAT32와 NTFS 포맷의 파티션이 손상되었을 경우 어떻게 복구하는지 실습해보았다. (1) FAT32 파티션 복구 FAT32 파티션이 손상되었을 경우 복구하는 방법을 아래와 같다. 학습목표 : BR 영역이 손상된 파티션 복구 실습파일 : FAT_Partition.zip > FAT32 Partition Revovery.001 실습도구 : FTK Imager, HexEditor 실습결과 : FTK Imager에서 파티션 및 파일 목록 확인 1) GUI 형태로 파티션 상태를 확인하기 위해 FTK Imager의 File > Add Evidence Item 를 선택한다. 다음.. 데이터표현과 디스크 구성 - 하드디스크 구조 ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. 컴퓨터를 이용하면서 생성되는 모든 데이터는 계속해서 사용하고 유지하기 위해 저장 매체에 저장한다. 이번 글은 저장 매체 중 가장 기본이 되는 하드 디스크(HDD) 구조에 대해서 알아보자. 하드 디스크는 크게 6개의 구성으로 이루어져 있다. 전원 커넥터 : 하드디스크에 전원을 공급해주는 단자 데이터 커넥터 : 하드디스크와 컴퓨터 사이의 데이터를 전송해주는 단자. 헤드 : 데이터를 읽어주는 역할 액츄에이터 암 : 헤드를 데이터가 있는 위치로 움직여 주는 역할을 한다. 플래터 : 실제로 데이터가 저장되는 곳이다. 스핀들 : 플레터를 돌려주는 역할을 한다. 여기서 또 플래터를 단면으로 나타낼 수 있다. 플래터의 구성은 4 부분.. 데이터 표현과 디스크 구성 - MBR 이란 ※아래의 내용은 Startup 디스크 포렌식 (이별 지음)을 공부하며 남긴 기록이다. MBR(Master Boot Record)이란 무엇일까? 이를 알아보기 위해서 먼저 LBA 주소지정방식의 실제 하드 디스크 구조에 대해 공부해보자. 하드디스크의 논리적 구조 LBA 주소지정방식은 섹터 단위로 차례대로 주소를 지정하기 떄문에 위 그림과 같이 나타낼 수 있다. 0 번 섹터에 MBR이 오게 되며 이후 차례대로 파티션 정보가 오게 된다. (1) MBR 구조 MBR은 부팅에 필요한 Boot Code와 파티션 정보를 가지고 있어 시스템의 MBR이 손상되면 부팅이 불가능 하게된다. MBR은 총 512byte로 이루어져 있으며, 크게 3가지로 나눌 수 있다. Boot Code 부팅과 관련된 코드를 담고 있는 영역이며,.. 이전 1 다음
