- 혹시나 디지털 포렌식 전문가 2급 시험을 준비하는 사람들은 아래 게시물도 추가로 참조하길 바란다
https://isc9511.tistory.com/182
* File System 복구
- 우선 File System을 복구하기 전, 어느 부분에서 손상이 발생했는지 확인이 필수적이다.
- FTK Imager에서 이미지를 불러온 후, 파일 시스템 종류와 상관 없이 파티션 접근이 되지 않거나, 일부 회복된 파티션이 확인되면 손상이 갔다는 의미이다.
- 복구 시, FTK Imager와 HxD 에서 로드해서 정보를 교차 확인하며 복구를 진행한다.
- 파티션 손상 상태는 대표적으로 Unrecognized file system 및 Recovered가 존재한다.
1) Unrecognized file system
- 파일 시스템 손상 또는 구조적 문제가 있어 FTK Imager에서 정상적으로 인식하지 못하는 경우 발생
- 해당 손상 유형은 Raw(dd) 이미지로 복구를 진행하여야 한다.
- 만약 최초 확인된 이미지가 E01이라면, Raw(dd)로 이미지를 새롭게 생성 후, 복구 진행이 필요하다.
2) Recovered
- 손상 또는 삭제된 파티션을 FTK Imager가 복구했음을 의미함
- 완전한 복구는 아니나, 파티션 자체에 접근은 가능한 상태로, 해당 케이스는 완전 복구 없이, Encase, Autopsy 등에 이미지 로드 시, 직접적으로 내부 파일까지 확인이 가능하여 분석 자체에는 문제가 없는 상태
(즉 E01 등 확장자 그대로 로드해서 분석이 가능)
- 아래 파일 시스템 복구는 손상을 이미 인식한 상태이며, MBR, FTK Imager를 참조해서 각 파티션의 시작 섹터를 확인할 수 있다는 가정하에서 진행함
* FAT File System 복구
1) HxD로 이미지 파일 로드
- 이미지 로드 시, 일반적인 드래그 앤 드랍 또는 파일 불러오기로 로드 시, 완전히 다른 방식으로 불러들이기 때문에 파일 시스템으로 써 수정할 수 없음
- Byte Per Secotr의 경우 기본적으로 1 Sector당 512 Byte이므로 기본 설정으로 진행이 가능하다.
2) 파티션 추적
3) FAT32 시작 섹터 + 1 구간 확인
- 보통 시작 Sector (Boot Record) 구간이 손상되어 있는 유형이 존재
(다른 부분은 건들이면 데이터 자체에 문제가 생기기 때문에 실제 시험에서도 보통 이정도로 문제를 출제하는 것이 한계)
4) BR 백업 Sector 확인
- FAT32 BR Backup Sector는 FAT32 시작 섹터 + 6 의 위치에 존재
- 시작 문자열은 eX.MSDOS5.0... 으로 시작
(단, 시작 문자열은 파티션 기능 구동에 아무런 지장을 주지 않기 때문에, 데이터에 관한 HeX 값이 아닐 시, 정상 식별에 문제가 없음)
-> 이걸 말하는 이유는 실제 시험에 FAT32 백업 Sector의 식별 문자열을 고의로 파괴한 후, 문제를 출제한 적이 있어서임 (필자도 거기서 당황했었음)
5) FAT32 원본 시작 Sector에 BR Backup Sector의 값 덮어 씌우기
- 백업 BR Sector를 전체 복사 후, 시작 Sector 맨 첫 위치로 와서 붙여넣기 "쓰기" 수행
(복사한거라고 그냥 Ctrl + V(삽입)으로 붙여넣으면 한 섹터씩 뒤로 밀리기 때문에 파티션이 망가지므로 주의)
6) 별도 파일로 저장 후, 정상화 확인
- 망가진 원본은 차후 실수나 기타 상황을 대비해 유지하는 것이 좋음
- 다른 이름으로 저장 후 FTK Imager에서 불러왔을 시, 정상적으로 식별 및 파일에 접근이 가능한 것을 확인할 수 있음
* exFAT 파일 시스템 복구
- 복구 방식은 FAT32와 완전히 동일하다
- 다만, Backup BR Sector의 위치가 시작 섹터 + 12번째 위치의 Sector에 존재하니 이 부분만 주의
* NTFS 파일 시스템 복구
1) NTFS 시작 Sector 식별
- 복구 흐름은 타 파일 시스템과 유사하다
- 우선 NTFS의 시작 섹터가 정상인 경우는 아래와 같다
- 정상인 경우 eR.NTFS 문자열로 시작하며, 해당 섹터 후반부, disk read error occured라는 문자열이 존재, +1 Sector에 B.O.O.T.M.G.R 이라는 문자열이 반드시 출력됨
2) NTFS Backup BR 탐색
- 우선 MBR을 참조하여 NTFS 파티션 Sector 수를 확인 후, (NTFS 시작 Sector + 총 Sector 수 - 1)의 값으로 백업 BR이 존재하는 곳으로 이동함
- 마찬가지로 복구 방법은 백업 BR 복사 후, NTFS의 시작 Sector에 덮어 쓰기를 적용해주면 복구가 가능함
3) NTFS Partition 복구 확인
- 이외, 파일 시스템 유형에 따라 백업 Sector가 어느 부분인지 인지하여 복구를 진행하면 됨.
- 단, 암호화가 걸린 경우는 동일 방법으로 복구가 불가능 하기 때문에 우선 암호화를 해제하여야 함
(이 부분은 다른 게시물에 작성 하겠음)
'Information Security > Digital Forensic' 카테고리의 다른 글
| [Digital Forensic] File Signature (0) | 2024.09.06 |
|---|---|
| [Digital Forensic] LNK Parser (1) | 2024.09.04 |
| [Digital Forensic] Autopsy (0) | 2024.08.29 |
| [Digital Forensic] FTK Imager (5) | 2024.08.28 |
| Linux Filesystem (0) | 2023.06.28 |
