디지털 포렌식 생존일지

Data Area 구조Data Area: Starting LBA Address(128번 섹터) + Reserved Sector Count(6,718개 섹터) + FAT Size 32(737개 섹터) * Number of FATs(2개) = 8,320번 섹터에 위치한다.Root Directory: 파일 파일명, 크기, 시간 정보, 저장된 클러스터 위치 등의 메타 정보를 확인할 수 있다.Data Area 시작 위치부터 위치한다.Data Area:실제 파일 데이터가 저장되는 장소 (FAT Area 클러스터 정보를 통해 연결) Data Area 분석MBR → Starting LBA Address: 80 00 00 00 → 리틀엔디안 변환 → 00 00 00 80 → 128번 섹터BPB → Reserved Sec..

FAT Area 구조FAT Area: Reserved Area → Boot Sector → BPB의 Reversed Sector Count(6,718 섹터) + Boot Sector 위치(128 섹터) + 6,846번 섹터에 위치한다.FAT Area #1:원본 FAT AreaReserved Area → Boot Sector → BPB의 FAT Size 32(737 섹터)로, 6,846번 섹터~7,582번 섹터에 위치한다.FAT Area #2:FAT Area #1의 백업 복사본FAT Area #1(6,846번 섹터~7,582번 섹터) 다음 섹터(7,582번 섹터)에서 시작되며, FAT #1과 동일하게 737 섹터의 크기를 가져, 7,583번 섹터~8,319번 섹터에 위치한다. FAT Area 분석FAT A..

Reserved Area 구조 Reserved Area: FAT File System의 0번 섹터~31번 섹터에 위치한다.Boot Sector (0번 섹터, 6번 섹터):Reserved Area의 0번 섹터에 위치한다.BPB(BIOS Parameter Block), Boot Code Error Message, Signature로 구성된다.파일 시스템 종류, 클러스터 크기, FAT Area 크기, Root Directory 위치 등이 저장된다. 6번 섹터에 백업 복사본을 저장한다. (일반적)FSINFO (1번 섹터, 7번 섹터):사용 가능한 클러스터 수, 사용 가능한 첫 번째 클러스터 위치 등을 저장한다.7번 섹터에 백업 복사본을 저장한다. (일반적)Boot Strap (2번 섹터, 8번 섹터): Boot..

FAT File SystemMS-DOS 및 초기 Windows 운영체제에서 기본 파일 시스템으로 사용되었던 파일 시스템 구조다. FAT32 File System 생성Windows + X → "디스크 관리" → "동작" → "VHD 만들기" → 생성한 가상 하드 디스크(VHD) 우클릭 → "디스크 초기화" → "MBR" 선택 → "할당되지 않음" 우클릭 → "새 단순 볼륨" → "드라이브 문자 할당" 선택 "이 볼륨을 다음 설정으로 포맷" 선택 → 파일 시스템 "FAT32" 선택 →"다음" → "마침" 정상적으로 FAT32 File System을 생성하면 아래 이미지와 같은 디스크 구조를 확인할 수 있다. FAT32가 인식된 드라이브를 선택하고 텍스트 문서를 생성한다. 텍스트 문서에 간단한 텍스트를 입력 ..

GPT(GUID Partition Table) Header 복구1. 정상 GPT 파티션 구조의 가상 하드 디스크(VHD) 확인FTK Imager 실행 → "File" → "Physical Drive" → GPT 파티션 구조 디스크 선택 → "Finish" 실행 관리자 권한으로 HxD 실행 → "도구" → "디스크 열기" → GPT 파티션 구조 디스크 선택 → "읽기전용으로 열기" 해제 → "수락" → 경고 "수락" 실행 2. GPT Header 손상GPT 파티션 구조 디스크의 GPT Header(섹터 1)를 0으로 채우고 저장한다.섹터 1 드래그 후 우클릭 → "선택 영역 채우기" → "제로바이트" 선택 → "수락" → Ctrl + S 실행 다시 FTK Imager로 디스크 열기 (GPT 파티션의 손상..

GPT(GUID Partition Table)각 파티션에 GUID(고유 식별자)를 부여하고, 대용량 디스크를 지원하는 파티션 구조다. UEFI 시스템에서 사용되며, MBR의 한계를 극복하기 위해 만들어졌다. GPT(GUID Partition Table) 구조 분석1. 가상 하드 디스크(VHD) 생성Windows + X → "디스크 관리" → "동작" → "VHD 만들기" 실행 2. 생성한 가상 하드 디스크(VHD) 초기화생성한 가상 하드 디스크(VHD) 우클릭 → "디스크 초기화" → "GPT" 선택 3. 파티션 2개(20 MB) 생성"할당되지 않음" 우클릭 → "새 단순 볼륨" 실행 4. 관리자 권한으로 HxD 실행 및 디스크 열기관리자 권한으로 HxD 실행 → "도구" → "디스크 열기" → "읽기전..

MBR(Master Boot Record)MBR은 하드 디스크나 다른 저장 장치의 첫 섹터(일반적으로 0번 섹터)에 저장되는 데이터다. 하드 디스크나 다른 저장 장치는 아래와 같은 구조를 가지고 있다. 가장 앞인 0번 섹터에 MBR이 오고, 그 뒤로 MBR Slack, 볼륨의 개수만 VBR과 Volume Data 영역이 반복된다. MBR Slack은 MBR 이후, VBR 전까지의 빈 공간을 의미한다. MBR(Master Boot Record) 분석1. 가상 하드 디스크 생성Windows + X → "디스크 관리" → "동작" → "VHD 만들기" 실행 "가상 하드 디스크 만들기 및 연결" 2. 가상 하드 디스크 초기화생성한 가상 하드 디스크 우클릭 → "디스크 초기화" 실행 "디스크 초기화" → MBR(..

HxD(Hex Editor and Disk Editor)HxD는 16진수 편집기로 Raw Disk 편집과 Main Memory (RAM) 수정뿐만 아니라, 크기에 관계없이 모든 파일을 처리할 수 있는 무료 소프트웨어다. HxD 설치https://mh-nexus.de/en/hxd/ HxD - Freeware Hex Editor and Disk Editor | mh-nexusHxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any si..

FTK Imager디지털 포렌식 업계에서 무료로 이용할 수 있는 기본적인 소프트웨어 도구로, 디스크 이미징 작업에 많이 활용된다. FTK Imager 설치https://www.exterro.com/digital-forensics-software/ftk-imager FTK Imager - Forensic Data Imaging and Preview Solution | ExterroFTK Imager, the choice for global digital forensics professionals. Quick, forensically sound data preview and imaging for electronic device investigations.www.exterro.com 위 사이트에 접속 후 FR..

가상 하드 디스크(VHD)Virtual Hard Disk의 약자로, 디스크 이미지 파일을 실제 디스크처럼 사용하는 것이다. 즉, 존재하지 않는 디스크를 이미지 파일을 통해 실제 디스크처럼 사용할 수 있다. 가상 하드 디스크 (VHD) 만들기Windows + X 실행 → "디스크 관리" 실행 "동작" → "VHD 만들기" 실행 가상 하드 디스크(VHD)를 설정하고 생성한다.위치: 원하는 경로가상 하드 디스크 크기: 원하는 크기가상 하드 디스크 포맷: VHD(추천) 또는 WHDX가상 하드 디스크 유형: 고정 크기(권장) 또는 동적 확장 아래 이미지와 같이 아무것도 없는 가상 하드 디스크(VHD)가 생성된다. 새로 생성한 가상 하드 디스크(VHD)를 우클릭 → "디스크 초기화" 실행 MBR 또는 GPT 구조 ..