![정보보안 SUA - [디포] "1주차 과제"](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FDU4qX%2FbtqW4gMs2ql%2FD1K4yeCZMsKJMeFJ8A3FIK%2Fimg.png)
1. MBR & VBR을 복구하라!
:MBR과 VBR 복구 과정과 수정한 HEX값 캡쳐 및 FTK Imager에서 인식되었다는 화면 캡쳐하기
1) MBR 복구하기
MBR의 시그니처를 추가하여 MBR 복구를 시작한다.
jh8992.tistory.com/entry/FileSystem-Forensics-FAT32?category=956626
[FileSystem Forensics] 2. MBR 기초
* 들어가기에 앞서 본 스터디에 사용 된 OS 종류 및 VMware 종류에 대해 기술하고 시작하고자 한다. 다른 버전이어도 상관은 없으나, 사용 상 불편한 부분까지 본 블로그에서 일일히 다루어 주지는
jh8992.tistory.com
2) VBR 복구하기
"MSDOS"라는 문자열 검색 결과, 134번째 섹터에서 VBR 또는 그의 백업을 발견하였다. 더불의 파일 시스템이 FAT32라는 것도 알아냈다.
134번 섹터의 VBR 백업을 6섹터 위인 128번 섹터에 덮어쓰기
따라서 MBR의 아래 표시한 부분에는 80 00 00 00 이라는 값이 들어가야 한다.
이제 VBR을 분석해보자.
순서대로 파티션 시그니처, BP(첫 줄 표시 안된 부분), SP, Reserved sector count, Hidden sectors, Total Sector (10C20 ~ 10C23), FAT Size 32, Backup Boot Sec 이다.
-
Partition Signature = MSDOS5.0 = FAT32 파일 시스템
-
BP (Bytes Per Sector) = 0x200 = 512 = 1개의 섹터는 512 bytes임
-
SP (Sector Per cluster) = 0x02 = 2 = 1개의 클러스터는 2개의 섹터로 이루어져 있음
-
RS (Reserved Sector count) = 0x1B6E = 7022 = VBR의 크기가 7022 섹터임
-
Hidden sectors = 0x80 = 128
-
Total sector 32 = 0x26800 = 157696 = 총 157,696섹터, 157,696 * 512 = 80MB
-
FAT Size 32 = 0x249 = 585 = FAT #1과 #2의 크기는 각각 585 섹터임
-
Backup Boot Sector = 0x06 = 6 = 6번째 섹터에 백업 부트 섹터가 있음
|
총 157,696섹터 : 157,696 (157,696 * 512 = 80MB) |
|||
|
BR + RS (7022 섹터) |
FAT #1 585 섹터 |
FAT #2 585 섹터 |
DATA AREA: 8326 섹터부터 |
FAT #1 위치 = Starting LBA Address(134 섹터) + RS (7022 섹터) = 7156
FAT #2 위치 = FAT #1 시작 위치 + FAT 크기 = 7156 + 585 = 7741
데이터 영역 시작 = FAT #2 시작 위치 + FAT 크기 = 7741 + 585 = 8326
루트 디렉터리 = FAT 시작 + 예약된 영역 + FAT #1 + FAT #2 = 134 + 7022 + 585 + 585 = 8326
그런데 8326 섹터를 가보면 디렉터리 엔트리 시작이 아닌 느낌.
혹시나 해서 6섹터 앞 = 8326 - 6 = 8320 섹터를 가보니
이 부분이 디렉터리 엔트리 시작이 맞는 듯한 느낌! 즉, Starting LBA Address는 134 섹터가 아니라 128 섹터였고, 134섹터는 백업이었다.
LBA를 128로 해서 다시 계산해보면,
FAT #1 위치 = Starting LBA Address(128 섹터) + RS (7022 섹터) = 7150
FAT #2 위치 = FAT #1 시작 위치 + FAT 크기 = 7150 + 585 = 7735
데이터 영역 시작 = FAT #2 시작 위치 + FAT 크기 = 7735 + 585 = 8320
루트 디렉터리 = FAT 시작 + 예약된 영역 + FAT #1 + FAT #2 = 128 + 7022 + 585 + 585 = 8320
이렇게 MBR 복구도 가능
2. 파일 정보를 찾자!
:파일이 하나 존재하는데 파일명(확장자포함), 파일크기, 파일위치(클러스터번호), 파일 내용을 캡쳐하기. 디스크를 마운트 하지않고 Only HEX 데이터로 분석!
1) 파일명(확장자포함) = MAIN.TXT
파일명: 0x202020204E49414D = MAIN
확장자: 0x545854 = TXT
2) 파일 크기 = 79 bytes
0X4F = 79 bytes
3) 파일 위치(클러스터번호) =
0x00 ~ 0x08 = 8번 클러스터
8320섹터(2번 클러스터, 루트 디렉터리 시작 위치) + ((8-2) *2섹터) = 8,320섹터 + 12섹터 = 8,332섹터
4) 파일 내용 캡쳐
'Forensics' 카테고리의 다른 글
| $MFT로 파일의 절대 경로 찾기 (0) | 2021.03.28 |
|---|---|
| Fixup Array Structure Analysis (0) | 2021.03.14 |
| $MFT Structure Analysis (0) | 2021.02.28 |
| FAT32 File System Structure (0) | 2021.02.20 |
| FAT32 포맷 VOL32 파티션 세팅 (0) | 2021.02.20 |