반응형
블록 해시(Block Hash)
블록(섹터: 512) 단위의 해시값으로 블록 존재여부를 식별할 수 있다.
완전한 파일은 아니지만 특정파일의 조각(블록)이 여전히 존재하는지 검사하고 싶을때 사용 가능하다.
(실습) NTFS Image.e01에서 2개 파일의 블록 해시를 계산하여 해시셋을 만들고,
만들어진 블록 해시와 동일한 블록을 Ext2 Image.e01에서 검색하자
1. 블록 해시셋 만들기
2. 블록 해시 검색(Block Hash Search)
3. 일부라도 확인된 블록의 시작과 끝을 지정해서 카빙
반응형
'Digital Forensics > X-Ways' 카테고리의 다른 글
| [X-Ways Forensics] 23 Signature 분석 (0) | 2021.01.06 |
|---|---|
| [X-Ways Forensics] 22 FuzZy 해시(FuzZyDoc) (0) | 2021.01.03 |
| [X-Ways Forensics] 20 RAID 시스템 재구성 - 실습 (0) | 2021.01.01 |
| [X-Ways Forensics] 19 섹터 중첩하기(Sector Superimposition) (0) | 2020.12.31 |
| [X-Ways Forensics] 18 인덱스 슬랙(Index Slack)까지 확인하기 (0) | 2020.12.30 |
