Digital Forensics/EnCase2010. 5. 12. 13:35
반응형

-      복원 과정

a.       MBR 정보 확인하여 두 번째 파티션 시작위치(Starting LBA 08 F6 01 00 : 128454 sector)로 이동

 

b.        마지막 2 Bytes에 “55 AA Signature 뿐으로, OEM String이 없음

b-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System Meta Data 등이 삭제된 것임

b-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임 

 

 

c.f) Partition Layout (Primary Partition 2, Extended Partition 2개인 경우)

 

  

 

c.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인

           // OEM String MSDOS5.0이므로 파일 시스템의 유형은 FAT32로 확인

 

 

d.        2번째 파티션의 시작지점(VBR) 128583sector에서 새로운 파티션 추가(Add Partition)

 

//  확장 파티션이므로 ‘Unused Sectors before VBR = 63’

 

 

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 5. 12. 13:29
반응형

 

Case ① Boot Record VBR위치 정보 손상된 경우

 

-      복원 전 MBR : Partition Table Layout

Bootable Flag

Starting CHS

Partition Type

Ending CHS

Starting LBA

Size in sector

00

01 01 00

07

FE 3F 07

3F 00 00 00

C9 F5 01 00

00

00 01 08

05

FE 3F 0D

08 F6 01 00

86 78 01 00

 

-      하드 전체 Layout 

MBR

Primary 1 (NTFS)

BR

Extended 1 (FAT32)

 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

Type

Name

Status

Start

Stop

Relative

size

07

NTFS

00

000101

073FFE

63

128457

05

FAT32

00

080100

0D3FFE

128520

96390

 

-      손상여부 확인

a.       Unused Disk Area의 크기 확인

// 50 MB로 나타나, 파티션이 삭제되거나 인식되지 않았을 가능성 있음

 

b.       MBR 확인

Partition Table 확인 결과 총 2개의 Partition 정보가 수록되어 있으나, Encase에서는  C 드라이브 1개만 인식하고 있음

// Partition Table 해석 : 229824 섹터 중 첫 번째 파티션은 128457개의 섹터의 용량 차지, 시작 LBA 63섹터. 두 번째 파티션은 96390섹터의 용량을 차지, 시작 LBA 128458 섹터.

 

 

 

-      인식 오류 발생 원인

두 파티션 모두 Master Boot Record Partition Table에는 제대로 정보가 나타나 있었고, 첫 번째 파티션 (Primary Partition) VBR 또한 이상 없었지만, 두 번째 파티션의 경우 Extended Partition 으로 보이는데, BR VBR 위치 정보가 기록되어 있지 않아(손상) 인식이 되지 않음.

반응형
Posted by CCIBOMB