DF_m@ster

Disk Information증거 분석 할 디스크의 정보는 파일시스템과 파일을 상세 분석 할 때 핵심적인 정보가 된다. 이러한 이유로 디스크 정보를 확인할 줄 알아야 하며, 확인할 수 있는 정보로는 디스크 크기, 디스크 섹터 수, 디스크 클러스터 수, 섹터 크기, 디스크 해시 값(무결성), 파티션 시작 섹터, 파티션 총 섹터, 볼륨 이름, 볼륨 시리얼 넘버 등의 정보가 있다. 또한, 증거 분석 할 디스크가 USB일 경우 USB 이미징 이후에 USB 제조사, 모델명도 확인 가능하다. 테스트를 위해 300MB 크기의 디스크를 MBR로 초기화하고, 150MB 크기의 NTFS 파티션과 150MB 크기의 FAT32 파티션으로 생성하였다. 1. 디스크 정보디스크 정보는 FTK Imager와 Autopsy로 확인할 ..

Partition Analysis분석하려는 디스크의 특정 파티션에 접근이 불가능할 때, 파티션 복구가 필요하다. 파티션 복구가 필요한 경우에는 MBR의 Partition Entry가 훼손된 경우와 VBR의 Boot Sector가 훼손된 경우로 두 가지가 있다. 이 경우 FTK Imager에서 Evidence Tree에 디스크를 업로드했을 때, 각각 Recoverd, Unrecognized File System으로 표기된다. 두 경우 모두 E01 파일로는 복구가 불가능하며, RAW(dd) 파일로 만 복구가 가능하다. Recoverd, Unrecognized File System의 경우를 직접 훼손하여 적용해 보고 복구해 보기 위해 디스크를 생성하였다.디스크는 Partition 1(이름: 첫 번째, 40MB..

MBRMBR (Master Boot Record): 컴퓨터 저장 장치의 가장 처음에 위치하는 특별한 부트 섹터로 이는 시스템을 부팅하는 데 필요한 정보와 파티션 테이블을 포함하여 운영 체제를 로드하는 데 중요한 역할을 한다. MBR은 디스크의 파티션 구조를 정의하고, 부트로더를 포함하여 컴퓨터가 운영 체제를 시작할 수 있게 한다.추가적으로 MBR은 다중 파티션의 경우 각 파티션 정보를 저장하기 위해 생성되며, 단일 파티션인 경우 MBR 없이 VBR이 저장 장치의 가장 처음에 위치하게 된다. MBR은 크게 세 부분으로 구성된다.1. Boot Code (446 Byte): 컴퓨터를 부팅할 때 필요한 기본적인 코드 영역2. Partition Table (64 Byte): 하드 드라이브의 파티션 구조를 정의하는..

1. 기본 화면1. Evidence Tree: 디스크 증거를 트리구조로 제공2. File List: Evidence Tree에서 선택한 항목(파일, 폴더) 정보 제공3. Properties: Evidence Tree이나 File List에서 선택한 항목의 다양한 정보 제공 - 디스크: Cylinders (Pysical), Tracks per Cylinder (Pysical), Sector per Track (Pysical), Bytes per Sector, Sector Count - 파티션: Starting Sector, Sector Count - 파일 시스템: Cluster Size, Cluster Count4. Viewer: Evidence Tree이나 File List에서 선택한 항목의 Previe..