Startup Disk Forensic 3-day
NTFS 파일시스템 파티션 복구 1. FAT32와 마찬가지로 파티션을 확인 결과 파티션 정보가 손상 되어 있다고 저자께서 친절히 헥사값으로 적어 놓음(내용은 같네;;;) 2. 파티션 복구를 위해 해당 실습 파일의 파티션 정보를 얻을 수 있는 MBR을 확인 3. 파티션을 확인해보면 첫번째 파티션부분을 제외한 부분은 시그니쳐 전까지 0으로 채워져 있으므로 첫번째 파티션에 해당하는 부분만 확인 파티션의 파일시스템은 NTFS (07) 섹터의 시작위치는 [00 00 00 3F] 해당 파티션의 총 섹터 갯수는 [00 3C 3F C0]임을 알 수 있다. (어째 이부분도 NTFS로 바뀐거 말고는 값이 어쩜 이리 똑같니;;;) 4. HxD를 이용하여 파일을 연 뒤 파티션의 시작 섹터로 이동하면 FTK Imager에서 봣..
Startup Disk Forensic 2-Day
FAT 32 파일시스템 파티션 복구 1. 우선 파티션을 확인 결과 파티션 정보가 손상 되어 있다고 저자께서 친절히 헥사값으로 적어 놓음 2. 파일 복구를 위해 해당 실습 파일의 파티션 정보를 얻을 수 있는 MBR을 확인 3. 2의 사진에서 블록 처리 된 부분이 첫번째 파티션에 해당하는 부분으로 파티션의 파일시스템은 FAT32 (0B) 섹터의 시작위치는 [00 00 00 3F] 해당 파티션의 총 섹터 갯수는 [00 3C 3F C0]임을 알 수 있다. 4. HxD를 이용하여 파일을 연 뒤 파티션의 시작 섹터로 이동하면 FTK Imager에서 봣던 헥사값과 똑같은 헥사값으로 이루어져 있는 것을 확인할 수 있다. ※ 열때 그냥 파일-열기로 열지말고 기타설정-디스크 이미지 열기로 열어야 섹터별로 구분이 편하고 섹..
Startup Disk Forensic 1-day
저장 방식 빅-엔디안(Big-endian) - 왼쪽에서 오른쪽으로 읽는 방식 - IBM370, RISC기반 컴퓨터, 모토로라 마이크로프로세서, 네트워크 상 통신 등의 저장방식 리틀-엔디안(Little-endian) - 오른쪽에서 왼쪽으로 읽는 방식 - 인텔 프로세서, DEC의 알파 프로세서 등의 저장방식 - 컴퓨터 연산이 매우 단순해지고 빠르게 수행될 수 있다는 장점때문에 대부분 이 방식을 사용 하드디스크 구조 섹터 - 하드디스크의 물리적인 최소 단위 트랙 - 섹터 단위의 모음 트렉섹터 - 같은 구역에 있는 섹터의 모음 클러스터 : - 데이터의 입출력 단위(기본 4096byte) - 디스크 입출력 횟수를 줄이기 위해 사용 슬랙 공간 - 논리적 크기와 물리적 크기의 차이로 인해 낭비되는 공각 - 램 슬랙 ..