아래 내용은 bitnang 님의 디포전 2급 실기 모의 문제 중 '7929번 클러스터에 위치한 '기상나팔.MP3' 파일의 전체 경로를 찾는 내용을 다룹니다.
[실기] 디지털포렌식2급 실기 Tip 및 연습문제_2019
안녕하세요! 오랜만에 디지털 포렌식 2급 실기 대비 몇가지 Tip과 실기 연습문제를 하나 공개하려 합니다....
blog.naver.com
▧ 기상나팔.MP3 위치 찾기
1. 1 sector = 512 bytes (NTFS 검색)
2. 1 cluter = 8 sectors
3. Logical cluster number of $MFT = 0x2155 = 8533
4. $MFT 위치 = 128 + (8 * 8533) = 68,392 섹터
5. 7929번 클러스터 -> 0x1EF9 번 검색 -> 68536번 섹터
▧ 기상나팔.MP3의 절대 경로 찾기
1. 파일 이름 확인 ($30 속성)
File Name: 기상나팔.MP3
2. 같은$30 속성의 아래 부분 = File Reference Addr. of Parent Directory = 이 파일의 부모 디렉터리 번호
3. 현재 보고 있는 MFT Entry의 번호 = 0x48
3. '기상나팔.MP3'의 부모 디렉터리 위치 찾기
'기상나팔.MP3'의 부모 디렉터리 번호 = 0x46, 현재 번호 = 0x48
=> 2개의 엔트리 위 = 4개 섹터 위 = 68536 - 4 = 68532
4. '기상나팔.MP3'의 부모 디렉터리의 이름 찾기
$30 속성의 디렉터리 이름: '3. 음악'
File Path: 3. 음악\기상나팔.MP3
5. '3. 음악'의 부모 디렉터리 위치 찾기 = 0x05
현재 위치: 68532번 섹터, 0x46 번
찾을 섹터: 0x05번
0x46 - 0x05 = 0x41 = 65번 엔트리 = 130번 섹터
찾을 섹터의 위치 찾기: 68532 - 130 = 68,402
6. '3. 음악'의 부모 디렉터리 이름 찾기
$30 속성의 아래 부분: '.' (0x2E) = root
File Path: [root]\3. 음악\기상나팔.MP3
1. 레이블 이름
2. 클러스터 번호 찾아가기
'Forensics' 카테고리의 다른 글
| bitnang_2020 디포전2급 모의문제 2번 문제 답안 with HxD, FTK (0) | 2021.04.04 |
|---|---|
| [MITRE ATT&CK] Event Triggered Execution: Screensaver (0) | 2021.04.04 |
| Fixup Array Structure Analysis (0) | 2021.03.14 |
| $MFT Structure Analysis (0) | 2021.02.28 |
| FAT32 File System Structure (0) | 2021.02.20 |