티스토리 뷰
해당 포스트는 Start up 디스크 포렌식의 FAT32 파티션을 복구하는 내용의 실습입니다.
해당 실습 파일을 FTK Imager를 통해 내용을 확인해보자.
그럼 Unallocated Space 로 나와 파티션이 손상된 것을 볼 수 있다.
이제 손상된 파티션을 복구하기 위해서는 Hxd가 필요하다.
Hxd를 통해 해당 파티션을 열어주자
불러온 파티션을 조금 분석하자면
해당 파티션은 0x80으로 부팅이 가능한 파티션이다.
또한 0x0B로 FAT32의 파일시스템인 파티션이고 테이블의 시작주소는 [3F 00 00 00]인것을 알 수 있다.
해당 시작주소를 10진수로 변환하면 63이 나온다. 섹터를 63으로 이동하면 아래와 같이 깨진 것을 볼 수 있다.
FAT32는 BR 백업본을 시작주소에 6번째에 가지고 있다.
시작주소인 63의 6을 더해 69번째 섹터로 가보자.
백업본이 있는 것을 확인했다. 69번째 섹터부분을 복사하여 63 섹터에 넣으면 이제 끝이다.
다시 이미지를 FTK Imager에 넣어보니 잘 복구된 것을 볼 수 있었다.
'Digital Forensics > DISK Forensic' 카테고리의 다른 글
| 악성코드 감염 MBR 복구 (0) | 2024.06.26 |
|---|---|
| 다중 파티션 이해 (0) | 2024.06.26 |
| 파일 삭제 복구 (0) | 2024.02.17 |
| 디스크 마운트, 메모리 덤프 (0) | 2024.02.17 |
| 디스크 이미징 (0) | 2024.02.17 |