HongLog HongLog

HEX Editor를 이용하여 VHD 내부에 주어진 문제 조건에 맞는 파일 및 폴더 생성 실습을 위한 VHD를 생성한다. 3GB의 FAT32-1을 만든다. 디스크 초기화 선택 MBR 선택 문제 조건에 맞게 볼륨 레이블 설정 파일 및 폴더를 생성하기 위해서는 VHD를 분리해야한다. 그 후 Hexacode 변환을 위해 https://www.asciitohex.com/ 로 접속한다. BABO.PNG를 HEXACORD로 바꾼 값을 알 수 있다. 42 41 42 4f 20 20 20 20 50 4e 47 HxD를 관리자 권한으로 실행한다. 기타설정 – 디스크 이미지 열기로 FAT32-1을 연다. 파란 부분이 첫 번째 파티션의 정보이다. BR의 시작 주소는 80 -> 128이다. 빨간 네모의 예약된 영역의 크기는 ..

FAT32의 파일 복원을 통해 삭제된 파일을 복원하는 실습을 진행할 것이다. 기타 설정 – 디스크 이미지 열기 – 열려는 VHD 파일 선택 MBR은 위와 같은 구조로 이루어졌다. 빨간색으로 표시된 부분이 1번 partition 부분이다.그 중 노란색으로 표시된 부분은 파티션 시작점(BR)이다.검은색으로 표시된 부분은 섹터의 크기이다. 우리는 파티션의 시작점으로 가야하기 때문에 16진수 00 00 00 80을 10진수로 변환한다. 수는 뒤에서 앞으로 역순으로 읽어야한다. 변환하면 10진수 128이 나온다. 128번 섹터로 이동을 한다. 위의 사진이 BR의 구조이다. 위의 값을 보고 클러스터당 섹터의 수를 확인한다.주황색 네모의 클러스터당 섹터 수를 보면 08로 되어있는데 대부분 08로 되어있다. 파랑색 네..

Forensic이란? Forensic을 직역하면 법의학의 의미를 가진다.하지만 국내에서는 디지털 포렌식을 뜻하는 용어로 사용되고 있다. 디지털 포렌식을 하는 이유는 증거수집의 원칙에 따라 디지털 기기에 저장되어 있는 정보를 추출하여필요에 맞게 사용하기 위해서이다. 포렌식의 종류에는 - 디스크 포렌식- 메모리 포렌식- 네트워크 포렌식- DB 포렌식모바일 포렌식 등이 존재한다. 디지털 포렌식의 절차는 크게 증거 수집 -> 증거 분석 -> 보고서 작성(증거제출) 으로 이루어진다. 증거 수집 단계에서는 디지털 증거가 저장된 저장매체에서 데이터의 무결성을 보장하면서 데이터를 추출해야한다. 증거 분석 단계에서는 수집한 증거를 바탕으로 유용한 정보를 이끌어 내야한다. 보고서 작성 단계에서는 디지털 증거수집, 운송 및..