N0cT1s41

증거수집 절차1. 디지털 포렌식 조사 준비 단계디지털 포렌식 조사는 사건 발생 전에 철저한 준비가 필수적입니다. 준비 단계에서는 다음과 같은 작업이 이루어집니다:도구 및 장비 점검: 수사에 필요한 도구와 장비를 점검하고 사용법과 기술적 한계를 학습합니다.조사팀 구성 및 교육: 권한 획득, 팀 구성, 도구 개발 및 검증, 분석 기술 교육을 진행합니다.압수·수색 계획: 사건 개요를 파악하고 대상 시스템과 네트워크 유형을 확인하여 조사 과정에서 발생할 수 있는 문제를 최소화합니다.조사팀은 과잉금지의 원칙을 준수하며 최소한의 범위 내에서만 데이터를 수집해야 합니다. 또한 공정성과 무결성을 보장하기 위해 공증 인원의 참여가 필수적입니다.2. 디지털 포렌식 증거 수집 단계증거 수집은 사건 현장에서 체계적으로 이루어..

해당 포스트는 Start up 디스크 포렌식의 FAT32 파티션을 복구하는 내용의 실습입니다.해당 실습 파일을 FTK Imager를 통해 내용을 확인해보자.그럼 Unallocated Space 로 나와 파티션이 손상된 것을 볼 수 있다.이제 손상된 파티션을 복구하기 위해서는 Hxd가 필요하다.Hxd를 통해 해당 파티션을 열어주자불러온 파티션을 조금 분석하자면해당 파티션은 0x80으로 부팅이 가능한 파티션이다.또한 0x0B로 FAT32의 파일시스템인 파티션이고 테이블의 시작주소는 [3F 00 00 00]인것을 알 수 있다.해당 시작주소를 10진수로 변환하면 63이 나온다. 섹터를 63으로 이동하면 아래와 같이 깨진 것을 볼 수 있다.FAT32는 BR 백업본을 시작주소에 6번째에 가지고 있다.시작주소인 63..