N0cT1s41

2025.02.14 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -2- NTFS 파일 시스템 파일 복구 -2-이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야infosec-noh.tistory.com 2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 ..

이전 글에서 이어지는 내용입니다.2025.02.13 - [Forensic/DISK Forensic] - NTFS 파일 시스템 파일 복구 -1- NTFS 파일 시스템 파일 복구 -1-1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼infosec-noh.tistory.com MFT Entry 시작 위치 부터 시작하겠습니다. 이제 다음으로 삭제된 파일인 recovery_file2.jpg을 복구해줄 것이다.1. 삭제된 파일의 MFT Entry 위치 찾기삭제된 파일을 복구하려면, 해당 파일의 MFT Entry를 먼저 찾아야 한다.MFT 엔트리에는 파일의 속성..

1. 이미지 파일 준비 및 분석삭제된 파일을 복구하기 위해, 분석해야 할 이미지 파일을 확보했다.이 이미지 파일에는 3개의 삭제된 파일이 포함되어 있다.1.1. FTK Imager를 활용한 기본 구조 분석먼저, FTK Imager를 사용하여 이미지 파일을 열고 구조를 확인해보았다.분석 결과, 이미지 내부에 NTFS.Recovery.001이라는 RAW 파일이 포함되어 있음을 확인했다.이 RAW 파일을 추출하여, 직접 분석을 진행하기로 했다. 1.2. NTFS 파티션 및 VBR 확인이미지 파일 내부에 있는 NTFS.Recovery.001을 FTK Imager에서 확인한 결과,"Partition 2"가 NTFS로 포맷된 것을 확인할 수 있었다.하지만 HxD를 통해 확인했을 때, MBR과 VBR이 잘 보이지 않..