안녕하세요. 도깬리 포렌식스 입니다.
즐거운 주말인데, 밖에 비가 오네요. 오늘은 '폴더 복구(Recovery Folders)'에 대해 알아 봅시다.
'폴더 복구'는 증거 분석시 기본적으로 처리하는 루틴의 일부입니다. 자, 시작해볼까요?
폴더복구
EP(Evidence Processor)에서 [Recovery Folders]를 실행하면, 볼륨의 최상위 레벨에 ‘Recovery Folders’ 라는 가상의 폴더가 생성되면서 비할당 영역에서 복구된 폴더와 하위 폴더, 파일이 추가됩니다.
폴더 계층구조는 항상 정확한 것은 아니며, 절대적을 신뢰할 수 있는 자료로 간주되어서는 아니됩니다.
Lost Files 폴더와 구별 할 필요가 있습니다.
Lost Files 가상 폴더
증거이미지를 추가하면 자동으로 생성됩니다.
복구된 MFT 레코드에서 관련 폴더를 찾지 못한 경우, 여기에 복원시켜 줍니다.
“할아버지도 아버지도 모르는 고아”
Recovered Folders 가상 폴더
Evidence Processor를 실행해야 생성됩니다.
복구된 MFT 레코드에서 관련 폴더를 찾은 경우, 여기에 복원시켜 줍니다.
“할아버지는 모르지만 아버지가 누구인지는 아는 버려진 놈”
폴더 복구(Recovery Folders)의 기본 원리
| 대상 | FAT | NTFS |
| 비할당영역과 슬랙영역 | 디렉토리 엔트리에서 .(single dot) 과 .. (double dots)을 포함하는 엔트리를 찾아서 해당 폴더와 그 아래의 파일을 복구 | $MFT 엔트리에서 ‘FILE0’ 시그너처로 찾은 다음, ‘폴더’ 표시가 있는 엔트리를 찾아서 해당 폴더와 그 아래 파일을 복구 |
Pagefile.sys, hiberfile.sys, 덤프 파일(커널 덤프의 경우를 말함)에서 현재 마운트 되고 있거나, 과거에 마운트 되었던 NTFS 볼륨의 MFT 레코드가 발견되기도 합니다.
또한 Volume Shadow Copies에서도 MFT 레코드가 복원되기도 합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (2)
'EnCase' 카테고리의 다른 글
| [EnCase] 가상 파일시스템 (Virtual File System) 분석 기법 (0) | 2022.03.30 |
|---|---|
| [EnCase] 인덱스 검색 (Index Searches) (0) | 2022.03.28 |
| [EnCase] 증거 처리기(Evidence Processor) (0) | 2022.03.24 |
| [EnCase] NTFS 분석 (2) (0) | 2022.03.22 |
| [EnCase] NTFS 분석 (1) (1) | 2022.03.20 |