해당 포스팅은 FAT32 파티션을 복구하는 내용입니다.
| Boot Code | 446Byte |
| Partition Table | 64Byte |
| Signature | 2Byte |
다음은 MBR 구조입니다. MBR은 Book Code, Partition Table, Signature로 구성되어 있습니다.
| 파티션 시작주소 | 3F 00 00 00=>리틀 엔디언 00 00 00 3F | 63번 섹터 |
| 파티션 끝주소 | C0 3F 3C 00=>리틀 엔디언 00 3C 3F C0 | 3948480 섹터 |
섹터의 주소 계산은 프로그래머용 계산기를 통해 알 수 있습니다.
파티션 시작주소 63번 섹터로 이동해봅니다.
Disk Fail YAM! 문구가 도배되어 있습니다.
의도적으로 디스크를 망가뜨린 흔적입니다.
참고로, 위 사진은 구조체입니다.
이 상태에서 시작주소 +6섹터로 가면 백업 주소가 있습니다. 즉 63 + 6 = 69번 섹터로 이동합니다.
69번 섹터로 이동해서 백업 주소로 가주고, 해당 섹터에서 백업된 VBR(Volume Boot Record)내용이 보입니다. 해당 내용을 드래그해서 63번 섹터에 덮어주면 백업된 VBR을 망가진 63번 섹터에 덮어주는 것이 됩니다.
복사본을 저장하기 전 [도구 탭->백업 파일 생성 체크 해제]를 해줍니다.
FTK Manager로 확인해보면 파티션이 복구되어 연결되었음을 확인할 수 있습니다.
'Hacking&Security > forensics(포렌식)' 카테고리의 다른 글
| [포렌식] Defcon round 2 (0) | 2021.11.15 |
|---|---|
| [포렌식]FAT32 기본파일 분석 (0) | 2021.11.09 |
| [포렌식] 포렌식 도구, StegSolve, Magnifier, SmartDeblur (0) | 2021.10.27 |
| [포렌식]Defcon round 3 (0) | 2021.10.24 |
| [포렌식] Defcon round1 (0) | 2021.10.20 |
