[EnCase] 파티션 복구 (Partition Recovery) (1)

안녕하세요. 도깬리 포렌식스 입니다. 오랜만에 포스팅합니다.

오늘부터 몇 차례에 걸쳐 파티션 복구(Partition Recovery)에 대해 설명하고자 합니다. 유익한 시간 되시기 바랍니다.

 

파티션 복구

분석과정의 첫 단계는 물리적 디스크 전체에 대한 정보를 확인하는 것입니다.

 

기본적인 분석 순서

(1) MBR을 분석합니다. -> [Add Evidence]

(2) BitLocker 여부를 조사하고 해제합니다.

(3) Partition을 조사하고, 삭제된 파티션은 복구합니다. -> [Recovery Partition]

(4) Filesystem Meta Data 영역을 분석하고, 삭제된 폴더를 복구합니다. -> [Recovery Folders]

(5) Data 영역을 분석하고, 삭제된 데이터를 복구합니다. -> [Expand Compound Files], [Searches]

(6) 비할당 영역을 분석하고, 삭제된 파일를 복구합니다. -> [File Carving]

(7) 분석보고서를 작성합니다.

 

 

MBR 분석

[Device] -> [Disk View…]

파티션 테이블은 MBR 내의 섹터 오프셋 446부터 시작하여 64 바이트 크기입니다.

MBR 시그너처 Hex 55AA가 그 뒤에 위치합니다.

Decode 탭에서 윈도우 파티션 테이블 구조를 쉽게 확인할 수 있습니다.

 

파티션 테이블 구조

Status : 80 이면 부팅 파티션임을 의미합니다.

Relative : 파티션의 시작 위치를 섹터번호로 표시합니다.

Size : 전체 섹터수를 의미합니다.

 

 

감사합니다. 즐거운 하루 되세요.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)