파티션 복구 실습
준비물
- NTFS.001파일(실습 파일)
- FTK imager
- HxD
FTK imager
보시다시피 아무것도 나와있지 않는 상태이다.
심지어 Partition 1을 누르면 떠야할 VBR도 보이지 않는 상태이다.
HxD로 까보자
HxD
MBR의 모습이다. 다행히 MBR은 잘 보인다.
MBR - Partition table analysis
Bootable Flag : 00
0x80이 아닌 0x00이므로 부팅 파티션이 아니다
Starting CHS Addr : 02 03 00
현재 LBA주소지정방식이므로 여기선 쓸모없음
Partition Type : 07
0x07일경우 NTFS 파일 시스템이다.
Ending CHS Addr : 61 1B 06
현재 LBA주소지정방식이므로 여기선 쓸모없음
Starting LBA Addr : 80 00 00 00
LBA 주소 지정방식으로 표시할 때 파티션의 시작 섹터를 표현하며 시작은 0번부터 시작한다.
Size in Sector : 00 90 01 00
해당 파티션에서 사용하는 LBA의 총 섹터의 개수를 표시
MBR에서 분석한 것을 토대로 보면
파티션 시작 섹터는 128섹터
파티션 총 섹터의 개수는 102,400개
파티션 시작 섹터
Disk melong(디스크메롱)이다.
VBR 백업 위치
VBR 백업 위치
해당 파티션 시작 섹터 + 해당 파티션 총 섹터의 개수 -1
1을 빼는 이유는 섹터가 0부터 시작하기 때문에 1을 뺀다
VBR에서 나온 값으로 하면 1을 안빼도 되지만 현재 VBR이 망가져 있기 때문에 MBR의 데이터가 기준이다.
102527섹터로 가보자
이 부분이 VBR 백업 본이다.
이걸 긁어다가 128섹터에 붙여넣기 하면 될 것이다.
결과
실습 파일 출처 : https://blog.naver.com/bitnang/220188735136
'STUDY > Forensic' 카테고리의 다른 글
| NTFS File System - VBR (0) | 2020.07.20 |
|---|---|
| File System - MBR (0) | 2020.07.20 |
| 파일 포맷 내부 구조 (0) | 2020.06.04 |
| 파일시스템 기초 (0) | 2020.03.07 |
| Volatility 사용법 (0) | 2020.02.25 |