bitnang님이 작성하신 디포전 2급 모의문제 2020 버전의 2번 문제 풀이에 관한 포스팅입니다.
디지털 포렌식 기초 연습실(포렌식 전문가 2급 대비)
모든 화면은 Ctrl + Enter 를 통해 큰 화면으로 볼 수 있습니다.
www.notion.so
문제
풀이
1) 디스크 서명(Signature): 75 6E 64 3C
디스크 서명은 OS에서 컴퓨터 저장 장치를 구분하는데 사용되는 저장 장치의 고유한 식별 번호이다. 디스크 서명을, 디스크 신원, HDD 서명 등으로 부르기도 한다.
디스크 서명은 MBR에 위치한다. 0번 섹터의 코드 영역과 파티션 테이블 영역 사이에 있는 것이 디스크 서명이다.
2) USB의 전체 섹터 수 / 전체 용량: 30,032,352 sectors / 15,376,564,224 bytes
2.1 USB의 전체 섹터 수
USB 전체 섹터 수는 이미지 파일을 HxD에 넣었을 때 바로 확인 가능하다.
FTK Imager에서도 확인할 수 있다.
2.2 USB의 전체 용량
전체 용량은 전체 섹터 수에 1 섹터 크기를 곱하면 된다. 1 섹터 크기는 VBR의 다음 부분에서 확인할 수 있다.
: 30,032,352 섹터 X 0x200 (= 512 bytes) = 15,376,564,224 bytes
3) USB의 시리얼 넘버: 4C530000011113105595
USB 시리얼 넘버는 FTK Imager를 통해 사본을 생성할 때 무결성 확인을 위해 생성되는 로그 파일에서 확인할 수 있다.
4) 파일 시스템 별 전체 섹터 수 / 전체 용량 / 가용 용량 : NTFS - 20,971,520 sectors, 10,737,418,240 bytes, 10,737,414,144 bytes / FAT32 - 9,056,256 sectors, 4,636,803,072 bytes, 4,624,220,160
4.1 파일 시스템 별 전체 섹터 수
FTK Imager로 본 NTFS의 전체 섹터 수는 20,971,520 sectors이고 FAT32 파일 시스템은 9,056,256 sectors이다.
4.2 파일 시스템 별 전체 용량
파일 시스템 별 전체 용량은 각 파일 시스템의 전체 섹터에 bytes per sectors의 값을 곱한다.
NTFS의 경우 20,971,520 sectors X 512 sectors = 10,737,418,240 bytes
FAT32의 경우 9,056,256 sectors X 512 sectors = 4,636,803,072 bytes
4.3 파일 시스템 별 가용 용량
가용 용량은 클러스터 사이즈와 클러스터 개수를 곱하여 구한다.
NTFS의 경우 FTK Imager에서 쉽게 구할 수 있다. 4,096 X 2,621,439 = 10,737,414,144 bytes
FAT32의 경우 디스크가 훼손되어 확인할 수 없다.
Starting Sector에 관한 정보는 볼 수 있다. 하지만 HxD에서 확인해보면, 비어있는 것을 볼 수 있다. VBR이 훼손되어있다.
Starting Sector가 20,973,568 번이므로 그 6번 섹터 뒤인 20,973,574 번 섹터로 가보자.
20,973,574 번 섹터에 FAT32의 VBR 백업이 존재한다.
이 섹터의 데이터를 복사하여 원래의 VBR 자리인 20,973,568 번 섹터에 삽입한다.
VBR 복구가 완료된 이미지 파일을 FTK Imager에 마운트해보면, FAT32 가 잘 복구되었음을 확인할 수 있다. 이 정보에 따라 FAT32의 가용용량은 4,096 X 1,128,960 = 4,624,220,160 bytes 이다.
5) 파일 시스템의 종류 / 파일 시스템 볼륨 시리얼 넘버: NTFS - AC77-7D51 (0EAC779CAC777D51) / FAT32 - 7200-2827
FTK Imager에서 쉽게 확인할 수 있다.
HxD에서는 아래에서 확인할 수 있다.
6) 파일 시스템의 클러스터 크기: NTFS - 4,096 bytes / FAT32 - 4,096 bytes
두 파일 시스템 모두 Bytes Per Sector의 값이 0x200 = 512 bytes이고, Sector Per Cluster의 값이 0x08 = 8 이므로 1 클러스터는 512 X 8 = 4,096 bytes 이다.
'Forensics' 카테고리의 다른 글
| Galaxy S9+ (Android 10) 루팅 with Magisk (0) | 2022.11.05 |
|---|---|
| DFC 2019 IR200 - 악성 파일 찾기 (0) | 2021.04.11 |
| [MITRE ATT&CK] Event Triggered Execution: Screensaver (0) | 2021.04.04 |
| $MFT로 파일의 절대 경로 찾기 (0) | 2021.03.28 |
| Fixup Array Structure Analysis (0) | 2021.03.14 |