DF_m@ster

BitLocker Recovery Analysis비트라커가 적용된 파티션 복구를 실습하기 위해 먼저 상황을 재현하였다. 일반적으로 특정 파티션을 비트라커로 암호화하고 해당 비트라커의 복구키를 다른 파티션에 저장하는 문제들이 많아 해당 상황을 재현하였다. 아래는 실습할 디스크의 모습으로, 총 203MB 크기의 디스크를 MBR로 초기화하고, 100MB 크기의 파티션을 두 개 생성하였다. 첫 번째 파티션(E:\)의 Root Directory이하에 'Key' 디렉터리를 만들고, 해당 디렉터리에 두 번째 파티션(F:\)의 비트라커 복구키 파일을 저장하였다. 두 번째 파티션(F:\)의 Root Directory이하에 'Directory' 디렉터리를 만들고, 해당 디렉터리에 본교의 정보보안 동아리 로고 이미지 파일을..

BitLockerBitLocker: 마이크로소프트 윈도우 시스템에 내장된 데이터 암호화 기능이다. 이 기능은 하드 드라이브의 전체 또는 일부를 암호화하여 데이터를 보호한다. 사용자는 비밀번호나 복구 키를 사용하여 암호화된 드라이브에 접근할 수 있다. 아래는 암호를 사용하여 드라이브에 비트라커를 적용하고 암호화된 드라이브를 키로 여는 과정이다.'BitLocker 드라이브 암호화' 시스템으로 이동하고, 암호화하려는 드라이브의 'BitLocker 켜기'를 선택한다. 추가적으로 '암호를 사용하여 드라이브 잠금 해제'를 선택하고 암호를 입력하면 아래처럼 복구 키를 어떻게 백업할지 선택하는 창이 나타난다.먼저 비트라커의 키에 대하여 설명하면, 드라이브를 복호화할 수 있는 키는 두 가지 종류가 있다. 하나는 처음 입..

Partition Analysis분석하려는 디스크의 특정 파티션에 접근이 불가능할 때, 파티션 복구가 필요하다. 파티션 복구가 필요한 경우에는 MBR의 Partition Entry가 훼손된 경우와 VBR의 Boot Sector가 훼손된 경우로 두 가지가 있다. 이 경우 FTK Imager에서 Evidence Tree에 디스크를 업로드했을 때, 각각 Recoverd, Unrecognized File System으로 표기된다. 두 경우 모두 E01 파일로는 복구가 불가능하며, RAW(dd) 파일로 만 복구가 가능하다. Recoverd, Unrecognized File System의 경우를 직접 훼손하여 적용해 보고 복구해 보기 위해 디스크를 생성하였다.디스크는 Partition 1(이름: 첫 번째, 40MB..