N0cT1s41

2025.02.24 - [Forensic/File System] - EXT4 파일 시스템 파일 삭제 원리 EXT4 파일 시스템 파일 삭제 원리1. ext4 파일 시스템 개요ext4 파일 시스템은 리눅스에서 널리 사용되는 파일 시스템으로, ext3의 개선된 버전입니다. ext4는 파일을 저장할 때 전체 파티션을 여러 개의 블록 그룹(block group)으로 나누infosec-noh.tistory.com해당 글을 먼저 보고오시는것을 추천합니다.  이번 과정은 Kali Linux 환경에서 진행되었으며, 사용한 도구는 다음과 같습니다.사용 툴Linux: fls, istat, e2fsck, extundeleteWindows: HxD 먼저 fls 명령어를 사용해 삭제된 파일 목록을 확인합니다.fls는 EXT4 파..

2025.02.14 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -2- NTFS 파일 시스템 파일 복구 -2-이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야infosec-noh.tistory.com 2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 ..

이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼infosec-noh.tistory.com MFT Entry 시작 위치 부터 시작하겠습니다. 이제 다음으로 삭제된 파일인 recovery_file2.jpg을 복구해줄 것이다.1. 삭제된 파일의 MFT Entry 위치 찾기삭제된 파일을 복구하려면, 해당 파일의 MFT Entry를 먼저 찾아야 한다.MFT 엔트리에는 파일의 속성..

1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼저, FTK Imager를 사용하여 이미지 파일을 열고 구조를 확인해보았다.분석 결과, 이미지 내부에 NTFS.Recovery.001이라는 RAW 파일이 포함되어 있음을 확인했다.이 RAW 파일을 추출하여, 직접 분석을 진행하기로 했다. 1.2. NTFS 파티션 및 VBR 확인이미지 파일 내부에 있는 NTFS.Recovery.001을 FTK Imager에서 확인한 결과,"Partition 2"가 NTFS로 포맷된 것을 확인할 수 있었다.하지만 HxD를 통해 확인했을 때, MBR과 VBR이 잘 보이지 않..

FTK Imager로 VMDK 파일을 DD 파일로 이미징하기오늘 사용할 파일은 VMDK 파일로 VMware 가상 머신에서 사용하는 가상 디스크 파일입니다.FTK Imager를 이용하여 DD(디스크 덤프) 파일 형식으로 이미징하는 작업은 디지털 포렌식에서 중요한 과정입니다.이 과정에서 주의할 점, DD 파일로 이미징하는 이유 마지막으로 실습까지 구체적으로 알아보겠습니다.1. FTK Imager를 통한 VMDK 파일 이미징FTK Imager는 포렌식에서 많이 사용되는 툴이며 다양한 디스크 이미징 기능을 제공합니다. VMDK 파일을 DD 파일로 변환하는 과정은 간단하지만 이 과정에서 몇 가지 중요한 점을 고려해야 합니다.주의할 점:무결성: FTK Imager를 사용할 때 가장 중요한 점은 원본 VMDK 파일을..

해당 포스트는 Start up 디스크 포렌식의 파일시스템 구조이해에 대한 내용입니다..1.FAT32 파일추적 및 복구FAT32의 파티션 구조는 간단하게 구성되어 있다. Boot Sector는 MBR 구조와 같이 특정 오프셋 별로 가리키는 의미가 다르다. 1. Boot Code: 0 ~ 2byte2. BIOS Parameter Block : 3 ~ 89byte3. Boot Code와 Error Message : 90 ~ 509byte4. 시그니처 2byte : 510 ~ 511byte 의미내용Jump Boot CodeBoot Strap Code로 점프하기 위한 부분OEM NameOEM 회사를 나타내는 문자열로써, FAT32는 MSDOS5.X로 표시된다.Byte Per Sector한 섹터가 몇 byte로 구..