Case ③ MBR의 Partition Entry가 전혀 없는 경우
- 복원 전 MBR : Partition Table Layout
|
Bootable Flag |
Starting CHS |
Partition Type |
Ending CHS |
Starting LBA |
Size in sector |
|
. |
- 하드 전체 Layout
|
MBR |
Primary 1 |
Primary 2 |
- 하드디스크 정보 (229,824 Sectors, 112.2MB)
|
Type |
Name |
Status |
Start |
Stop |
Relative |
size |
|
07 |
NTFS |
00 |
000101 |
073FFE |
63 |
128457 |
|
05 |
FAT32 |
00 |
080100 |
0D3FFE |
128520 |
96390 |
- 인식 오류 발생 원인
MBR에 Partition Entry가 전혀 기록되어 있지 않다. 즉, Encase에서는 아무런 파티션도 인식하지 못하였다.
- 복원 과정
a. MBR의 Partition Entry를 고의적으로 삭제하였을 경우, 실제 파티션의 시작 지점에 위치하는 VBR은 남아있는지를 우선적으로 확인한다. 이때, 첫 Primary Partition은 63번 섹터에서 시작하게 되므로 63번 섹터를 확인.
// OEM String 으로 보았을 때, NTFS 파일 시스템을 갖는 파티션이 존재함 확인
b. 첫번째 파티션(Primary, NTFS) 추가
c. 하지만, 이때 파티션이 여러 개 존재하는지 여부 및 파티션의 크기와 시작 위치 등은 MBR이 삭제 되었으므로 더 이상 알 수 없다.
따라서 다른 파티션을 찾아보기 위하여 Keyword로 Search 한다.
c-1. 먼저 OEM String 을 키워드로 등록한다.
c-2. Unused Disk Area와, OEM String 키워드를 체크하고 Search
d. 검색 결과 확인
// 총 4개가 검색되었다. 이때, VBR의 백업본도 함께 검색되므로, 선별 작업이 필요하다. 보통 NTFS의 경우 VBR 백업본은 가장 마지막 섹터이고, FAT32의 경우 VBR로부터 6번째 섹터에 기록되므로 이 하드 디스크의 총 파티션 수는 2개이며, NTFS와, FAT32 파일 시스템을 사용하고, 각각 파티션 시작 위치(VBR)은 63 과 128520 임을 알 수 있다.
e. 두 번째 파티션(FAT32) 인식
e-1. 시작 지점인 128520섹터로 가 본다.
(첫 번째 파티션의 마지막 섹터 바로 다음이다.)
// 바로 VBR이 위치하는 것을 알 수 있다. 첫 번째 파티션이 128519 에서 끝났으므로 두 번째 파티션 또한Primary Partition인 것을 알 수 있다. (BR이 없으므로, MBR에 등록되어있는 Primary임을 의미함)
e-2. Add Partition
- 파티션 복원 완료
새로 추가된 E 드라이브의 Messages.txt 파일 내용 확인
- 추가 연구가 필요한 사항
추가하려는 E 드라이브 외에 D 드라이브(C와 E전부를 가리킴)가 생성되는 이유와 이를 포렌식적으로 제거하는 방법에 대한 연구가 필요하다.
c.f) 최종 복구 후 모습
'Digital Forensics > EnCase' 카테고리의 다른 글
| Encase Series - 7 Web History Analysis (인터넷 기록 분석) (0) | 2010.11.25 |
|---|---|
| Encase Series - 6 파티션 복구 (3) 실습 - Case 4 (0) | 2010.11.25 |
| Encase Series - 6 파티션 복구 (3) 실습 - Case 2 (0) | 2010.11.25 |
| Encase Series - 6 파티션 복구 (3) 실습 - Case 1 (0) | 2010.05.12 |
| Encase Series - 6 파티션 복구 (3) 실습 - Case 1 (0) | 2010.05.12 |
