중간고사에 파티션 백업본이 존재하는 주소를 묻는 문제가 나왔는데, 정답을 쓰지 못해서 정리
[그림 1] NTFS 파티션 손상
위 [그림 1]과 같이 파티션 헤더의 손상으로 인해 이미져로 파일시스템 내용을 확인 할 수 없는 경우 [그림 2]처럼 WinHex를 이용해 해당 이미지를 불러온다.
[그림 2] NTFS 파티션 헤더 백업
NTFS 파일시스템의 경우 파티션 영역의 가장 아래에 백업본이 존재하므로, 해당 내용을 복사 해 손상된 헤더부분에 덮어씌우면 [그림 3]과 같이 복구가 완료된다.
[그림 3] 복구 완료
FAT의 경우 NTFS와는 달리 파티션 헤더 백업본이 파티션의 6번째 섹터에 저장된다. 해당 내용을 복사 후 덮어씌우면 복구완료 (FAT12, FAT16은 백업 없음)
[그림 4] FAT 파티션 헤더 백업
'old > Forensic' 카테고리의 다른 글
| [자료] 포렌식 이미지 샘플 (0) | 2014.05.08 |
|---|---|
| [정리] USB 사용 흔적 조사 (0) | 2014.05.04 |
| [자료] windows ShellBag (0) | 2014.04.22 |
| [자료] Windows7 아티팩트 간단 정리 (0) | 2014.04.15 |
| [자료] 포렌식 보고서 작성 시 참고사항 (0) | 2014.04.15 |
중간고사에 파티션 백업본이 존재하는 주소를 묻는 문제가 나왔는데, 정답을 쓰지 못해서 정리
[그림 1] NTFS 파티션 손상
위 [그림 1]과 같이 파티션 헤더의 손상으로 인해 이미져로 파일시스템 내용을 확인 할 수 없는 경우 [그림 2]처럼 WinHex를 이용해 해당 이미지를 불러온다.
[그림 2] NTFS 파티션 헤더 백업
NTFS 파일시스템의 경우 파티션 영역의 가장 아래에 백업본이 존재하므로, 해당 내용을 복사 해 손상된 헤더부분에 덮어씌우면 [그림 3]과 같이 복구가 완료된다.
[그림 3] 복구 완료
FAT의 경우 NTFS와는 달리 파티션 헤더 백업본이 파티션의 6번째 섹터에 저장된다. 해당 내용을 복사 후 덮어씌우면 복구완료 (FAT12, FAT16은 백업 없음)
[그림 4] FAT 파티션 헤더 백업
'old > Forensic' 카테고리의 다른 글
| [자료] 포렌식 이미지 샘플 (0) | 2014.05.08 |
|---|---|
| [정리] USB 사용 흔적 조사 (0) | 2014.05.04 |
| [자료] windows ShellBag (0) | 2014.04.22 |
| [자료] Windows7 아티팩트 간단 정리 (0) | 2014.04.15 |
| [자료] 포렌식 보고서 작성 시 참고사항 (0) | 2014.04.15 |
