-
Digital Forensic - FAT32 파일 복원Forensic 2019. 2. 21. 15:04
FAT32의 파일 복원을 통해 삭제된 파일을 복원하는 실습을 진행할 것이다.
기타 설정 – 디스크 이미지 열기 – 열려는 VHD 파일 선택
MBR은 위와 같은 구조로 이루어졌다.
빨간색으로 표시된 부분이 1번 partition 부분이다.
그 중 노란색으로 표시된 부분은 파티션 시작점(BR)이다.
검은색으로 표시된 부분은 섹터의 크기이다.
우리는 파티션의 시작점으로 가야하기 때문에 16진수 00 00 00 80을 10진수로 변환한다.
수는 뒤에서 앞으로 역순으로 읽어야한다.
변환하면 10진수 128이 나온다.
128번 섹터로 이동을 한다.
위의 사진이 BR의 구조이다.
위의 값을 보고 클러스터당 섹터의 수를 확인한다.
주황색 네모의 클러스터당 섹터 수를 보면 08로 되어있는데 대부분 08로 되어있다.
파랑색 네모의 예약영역값을 10진수로 변환한다.
1816 -> 6166
빨간 네모의 FAT 값을 10진수로 변환한다.
3F5 -> 1013
이제 10진수로 바꾼 값들을 이용하여 Root Directory 값을 구한다.
1. MBR~BR
2. 예약된 영역
3. FAT1 + FAT2
4. 1 + 2 + 3 = Root Directory
위의 방법으로 구하면 128 + 6166 + 1013 + 1013 = 8320
첫 번째 파티션의 Root Directory의 위치는 8320이다.
첫번째 partition에는 다른 파일은 존재하지 않고 TEST1 폴더만 존재하는 것을 볼 수 있다.
그러면 이제 2번째 Partition의 Root Directory를 찾으러 간다.
빨간색으로 네모쳐진 부분이 2번째 Partition이다.
첫 번째 파티션에서 구한 것처럼 파티션 시작점과 용량을 확인한다.
시작점은 1,044,608
시작점은 1,044,608
용량은 1,046,528
시작점 1,044,608로 간다.
빨간 네모를 보면 클러스터당 섹터 수가 8개인 것을 알 수 있다.
노란 네모를 보면 예약된 주소를 알 수 있다.
1812 -> 6162
남색 네모를 보면 FAT의 크기를 알 수 있다.
3F7 -> 1,015
Root Directory를 구한다.
1,044,608 + 6162 +1015 +1015 = 1,052,800
Root Directory로 가면
빨간 네모쳐진 부분의 삭제된 파일을 볼 수 있다.
삭제된 파일은 E5로 시작한다.
그리고 정상적인 파일은 우측에 8글자의 파일명과 3글자의 확장자로 구성되어져 있다.
노란색 네모가 쳐진 부분은 PNG파일의 크기이다.
초록색 네모가 쳐진 부분은 PNG파일의 시작 위치를 나타낸다.
01EE -> 494 이다
시스템에서 클러스터 2개를 사용하기 때문에 2를 뺀다.
그러면 492라는 값이 된다.
492에 클러스터의 수 8개를 곱한다.
3,936 이라는 값이 나온다.
Root Directory 값과 시작점의 값을 더한 뒤 해당 섹터로 가면 PNG 파일이 존재한다.
1,052,800 + 3,936 = 1,056,736
정상적인 경우 파일의 정보가 떠야 하는데
파일을 올린 뒤 너무 빨리 지우면 위처럼 정보가 뜨지않는다.
그 후 다시 Root Directory로 간다.
이제 TEST2 폴더로 간다.
초록 네모를 보면 PNG의 같은 위치의 값과 다른 10인데 폴더는 10 파일은 20의 값을 가진다.
빨간 네모의 값으로 TEST2 폴더의 시작점을 구한다.
6 – 2 = 4
4 x 8 = 32
1052800(루트값) + 32 = 1052832
PDF 파일을 복원하기 위해 파일의 크기와 시작점을 구한다.
시작점 : 1,052,800(Root Directory) + 56 = 1,052,856
파일 크기 : 1E4359 -> 1,983,321
PNG 파일의 시작점으로 간다
시작부분에 커서를 두고 우 클릭하여 블록 선택을 한다.
길이, 10진수를 선택한 뒤 PDF 파일의 크기 1,983,321을 입력한다.
그 후 파란 영역을 우 클릭 한 뒤 복사한다.
그 후 파일 – 새로 선택
그 후 우클릭 후 붙여넣기 쓰기 선택
그 후 다른이름으로 파일 저장
바탕화면에 PDF 파일이 생긴 것을 볼 수 있다.
PDF파일을 잘 복원한 것을 볼 수 있다.
'Forensic' 카테고리의 다른 글
Digital Forensic - FAT32 HEX Editor를 이용하여 파일 및 폴더 생성 (0) 2019.02.21 Forensic이란 (0) 2019.02.21