파일 시스템 포렌식 파티션 복구

파티션을 복구해보는 방법에 대해 알아보자.

먼저 ftk imager로 파티션을 열어본다.

unrecognized file system이 보인다. 파티션에 문제가 생긴 것 같다. 복구를 해보자.

HxD를 이용해 파티션을 열어본다.

HxD에서 extras->open disk image로 열어 섹터 단위로 구분을 할수 있게 열자.

파티션을 분석해보자.

한 섹터의 단위는 512바이트 이다. 

512바이트 의 구성은

Boot Code         446byte

Partition table 64byte

Signature         2byte

로 구성이 되어 있다.

Boot code는 부팅에 관련된 정보들이 저장되어 있다.

Paritition table에는 파티션들의 정보가 저장되어 있고,

Signature는 55 AA로 고정 값이다.

여기서 우리가 봐야 될건 partition table이다.

파티션들이 어떻게 나누어져 있고, 어떤 파일 시스템을 가지고 있는지 알수 있다.

여기서 파일 시스템이란 NTFS,FAT32 등 파티션의 포맷 방식을 의미한다.

이 만큼(64 byte)이 파티션 테이블이다.

한 파티션의 단위는 16byte로 구성한다.

그럼 

여기엔 파티션의 정보가 들어 있지만

여기엔 들어 있지 않다.

즉 파티션이 한개 존재 한다는 의미이다.

파티션의 정보를 분석해보자.

80 01 01 00 0B FE 3F F4 3F 00 00 00 C0 3F 3C 00

이 정보를 가져와 구분해보면

80

 - 부팅가능 여부, 0x80 가능, 0x0 불가능

01 01 00

- CHS 시작 주소. 별 의미 없다.

0B

 - FAT32 파일 시스템. 파일 시스템에 따라 값이 다른데, 뒤에서 정리하겠다.

(little endian으로 0x0B)

FE 3F F4

 - CHS 끝 주소. 역시 별 의미 없다.

3F 00 00 00

 - LBA(VBR) 시작 주소

 - 이 파티션의 정보가 위치해 있는 섹터의 주소를 가리킨다.

  - 사실 여기가 진짜 파티션의 내용이 아닌 파티션의 정보만을 가리키고 있다.

  - (little endian 방식으로 0x3F = 63. 63섹터에 이 파티션의 내용을 담고 있다.)

C0 3F 3C 00

 - 파티션의 총 섹터 개수(little endian으로 0x3C3FC0 = 3948480개 의 섹터 보유

 - 섹터 당 512byte이니 3948480*512 = 3,948,480,512 byte의 크기를 가진 파티션)

파일 시스템 타입에 따라 값은

 - 0x01 FAT12

 - 0x04, 0x06 FAT16

 - 0x0b, 0x0c FAT32

 - 0x07 NTFS

 - 0x05, 0x0f MS_Extended 

 - 0xee EFI GTP

이렇게 구성된다.

그럼 파티션의 내용을 가지고 있는 63섹터로 가보면

이렇게 파티션의 내용이 깨져있는걸 볼수 있다.

이럴 때를 대비해 항상 섹터위치+6섹터에 백업본이 위치해 있다.

그럼 69섹터를 가보자.

이 내용을 복사해 63섹터에 붙여넣기 하고

다시 ftk로 열어보면

다시 잘 되는걸 볼 수 있다.