[EnCase] 파티션 복구 (Partition Recovery) (5)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 파티션 복구를 이어갑니다. 오늘 다룰 내용은 EnScript를 이용한 파티션 복구입니다. 자, 시작할까요?

 

EnScript (Partition Finder)를 이용하여 파티션을 가상으로 복구하기

(1) [EnScript] -> [Case Processor] -> [Partition Finder] 실행하면 Bookmarks에 그 결과가 표시됩니다.

 

(2) 그림 속의 테이블 뷰에서 2번 엔트리를 보면 비할당 영역에서 FAT 볼륨이 발견되었음을 알 수 있습니다.

 

(3) 발견된 FAT 볼륨의 전체 섹터 수는 59,432이고, 시작섹터의 위치는 7,775,523번 섹터입니다.

 

(4) 2번 엔트리에서 마우스 우클릭한 후 Go to file을 선택합니다.

 

(5) Unused Disk Area 엔트리에서[Disk View]를 실행합니다.

 

(6) [Disk View]에서 VBR(7,775,523번 섹터)을 찾아 Partition 드롭다운 메뉴에서 [Add Partition] 합니다.

[Unused sectors before VBR]

복원하려는 파티션이 Primary Partition일 경우, VBR 앞에 미사용 영역이 없으므로 그런 경우에는 0으로 잡아 주어야 합니다.

[Backup Boot Record], [Use MFT2]

원본 VBR이나 $MFT가 훼손 된 경우 그 백업본을 이용하여 복원합니다.

 

(7) [Add Partition]을 실행하면 EnCase 환경 안에서 가상으로 파티션을 복원시켜 줍니다. 즉, 파티션 테이블의 연결 메커니즘을 이용하여 실제로 복원되는 것은 아닙니다. 따라서 기존의 Evidence 탭을 닫고, 새로 Evidence를 열면 가상으로 복원된 파티션이 보일 겁니다.

[Remove user defined partitions…]

가상으로 파티션 복원을 하기 이전의 상태로 되돌리는 것 입니다.

 

 

오늘은 여기까지입니다.

 

감사합니다. "좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)