Digital Forensics/EnCase2010. 11. 25. 01:26
반응형

 

Case  각각의 Partition VBR이 모두 손상된 경우

 

-      복원 전 MBR : Partition Table Layout

Bootable Flag

Starting CHS

Partition Type

Ending CHS

Starting LBA

Size in sector

00

01 01 00

07

FE 3F 07

3F 00 00 00

C9 F5 01 00

00

00 01 08

05

FE 3F 0D

08 F6 01 00

86 78 01 00

 

-      하드 전체 Layout

MBR

Primary 1

Primary 2

 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

Type

Name

Status

Start

Stop

Relative

size

07

NTFS

00

000101

073FFE

63

128457

05

FAT32

00

080100

0D3FFE

128520

96390

 

-      인식 오류 발생 원인

Encase로 불러왔을 때, 아무런 파티션도 인식하지 못한 상태이다.

해당 디스크의 MBR을 확인해 보았다. MBR에는 2개의 파티션 정보가 나타나 있다. 해당 정보에 따르면, 첫 번째 파티션 시작 위치는 63섹터, 두 번째 파티션 시작 위치는 128520 섹터이다. 그러나 해당 섹터(VBR)는 모두 손상되었다.

, MBR은 손상되지 않았지만, 각각 파티션들의 VBR이 손상되었다.

a.       MBR Partition table을 보고, Partition의 시작 위치 확인



b.       첫 번째 파티션의 시작 위치인 63 sector에서 VBR 손상 확인

 

c.       두 번째 파티션의 시작 위치인 128520 sector에서 VBR 손상 확인

 

 

-      복원 과정

VBR이 손상되었을 때에는, VBR 백업본을 이용하여 복원할 수 있는 가능성이 존재한다. NTFS의 경우 파티션의 가장 마지막 섹터에 백업 되며, FAT32의 경우 보통 VBR에서 6번째 섹터에 기록되어 있다. 각각 파티션의 백업 VBR의 존재를 확인 후 손상된 VBR의 위치에 덮어쓰는 방법으로 복원할 수 있다.

 

a.     첫 번째 파티션의 VBR (63 sector) 바로 다음 섹터 확인

// NTLDR 관련 정보가 있는 것으로 보아 NTFS인 것으로 추측.

NTFS의 경우 VBR의 백업본이 맨 마지막 sector에 저장되어 있음

  

b.    첫 번째 파티션의 맨 마지막 섹터 (128519 sector) 확인

// NTFS 파일시스템 파티션 VBR 이 백업되어 있음

 

c.     두 번째 파티션의 시작위치(128520 sector)로부터 6 sector 뒤 확인

// FAT32 파일시스템 파티션 VBR이 백업되어 있음

 

d.    WinHex dd 이미지를 읽음

(Encase Forensic Training버전에서는 Disk Emulate 기능 없으므로 직접 수정이 불가하므로 WinHex를 이용하여 VBR 백업본을 직접 손상된 VBR에 덮어써서 복원 후 마운트해야 함)



 

e.     Encase를 통해 이미 확인한 VBR 백업본을 원래의 VBR 위치에 덮어씌움

   // NTFS VBR 백업본

 

                  // FAT32 VBR 백업본 

 

 

-      복원 완료

a.       Encase로 확인

Winhex에서 저장 후 Encase에서 Raw Image로 불러들여 읽음

 // 정상적으로 C, D 드라이브가 인식된 것을 확인

  

b.       Linux Loop Device Mount하여 정상 인식되는지 확인

b-1.  dd 파일의 정보 확인 (Encase로 확인한 바와 동일함)

 



           c.f) MMLS filesystemrecovery.dd 를 이용하여도 Partition 정보 확인 가능

MMLS Sleuthkit Tool 중 하나로, 분석할 디스크 레이아웃과 전체 파티션 스키마 취득, 물리적 디스크만 분석 가능 (스냅샵으로 획득한 이미지 파일에서는 사용 못함)

img_stat도 스냅샷 작성한 파일과 원본 디스크 또는 파티션 정보 확인 가능

 

b-2. 첫 번째 파티션의 offset(시작위치sector byte로 환산)을 지정하여 Mount 시킴

 



c.f) 파일 시스템을 마운트하는 것이므로, offset을 지정하지 않는 경우 해당 이미지는 하나의 파일 내에 두 개의 파일시스템이 존재하게 되어 마운트 자체가 불가능함

“dd if=filesystemrecovery.dd of=recovery.dd bs=512 start=63 size=128457”와 같이 offset을 지정하지 않고, 첫 번째 파티션만 따로 dump하여 mount 가능

 

                            b-3. 마운트된 첫 번째 파티션 확인 (정상 인식)

 

 

b-4. 두 번째 파티션 Mount 후 확인 (정상 인식)

 

 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 25. 01:11
반응형

 

Case  MBR Partition Entry가 전혀 없는 경우

 

-      복원 전 MBR : Partition Table Layout

Bootable Flag

Starting CHS

Partition Type

Ending CHS

Starting LBA

Size in sector

.

 

-      하드 전체 Layout

MBR

Primary 1

Primary 2

 

-      하드디스크 정보 (229,824 Sectors, 112.2MB) 

Type

Name

Status

Start

Stop

Relative

size

07

NTFS

00

000101

073FFE

63

128457

05

FAT32

00

080100

0D3FFE

128520

96390

 

-      인식 오류 발생 원인

MBR Partition Entry가 전혀 기록되어 있지 않다. , Encase에서는 아무런 파티션도 인식하지 못하였다.

  

 

 

-      복원 과정

a.       MBR Partition Entry를 고의적으로 삭제하였을 경우, 실제 파티션의 시작 지점에 위치하는 VBR은 남아있는지를 우선적으로 확인한다. 이때, Primary Partition 63번 섹터에서 시작하게 되므로 63번 섹터를 확인. 

 

           // OEM String 으로 보았을 때, NTFS 파일 시스템을 갖는 파티션이 존재함 확인

  

b.       첫번째 파티션(Primary, NTFS) 추가



 

c.       하지만, 이때 파티션이 여러 개 존재하는지 여부 및 파티션의 크기와 시작 위치 등은 MBR이 삭제 되었으므로 더 이상 알 수 없다.

따라서 다른 파티션을 찾아보기 위하여 Keyword Search 한다.

 

                        c-1. 먼저 OEM String 을 키워드로 등록한다.

 

c-2. Unused Disk Area, OEM String 키워드를 체크하고 Search

 

 

d.       검색 결과 확인

 

// 4개가 검색되었다. 이때, VBR의 백업본도 함께 검색되므로, 선별 작업이 필요하다. 보통 NTFS의 경우 VBR 백업본은 가장 마지막 섹터이고, FAT32의 경우 VBR로부터 6번째 섹터에 기록되므로 이 하드 디스크의 총 파티션 수는 2개이며, NTFS, FAT32 파일 시스템을 사용하고, 각각 파티션 시작 위치(VBR) 63 128520 임을 알 수 있다.

  

e.    두 번째 파티션(FAT32) 인식

e-1.  시작 지점인 128520섹터로 가 본다.

(첫 번째 파티션의 마지막 섹터 바로 다음이다.)

// 바로 VBR이 위치하는 것을 알 수 있다. 첫 번째 파티션이 128519 에서 끝났으므로 두 번째 파티션 또한Primary Partition인 것을 알 수 있다. (BR이 없으므로, MBR에 등록되어있는 Primary임을 의미함)

 

 e-2. Add Partition

 

-      파티션 복원 완료

새로 추가된 E 드라이브의 Messages.txt 파일 내용 확인

 

 

-      추가 연구가 필요한 사항

추가하려는 E 드라이브 외에 D 드라이브(C E전부를 가리킴)가 생성되는 이유와 이를 포렌식적으로 제거하는 방법에 대한 연구가 필요하다.

 

 

c.f) 최종 복구 후 모습

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 11. 25. 00:54
반응형

 

Case ② MBR Partition Table 일부 및 확장 파티션의 BR이 손상된 경우

 

-      복원 전 MBR : Partition Table Layout

Bootable Flag

Starting CHS

Partition Type

Ending CHS

Starting LBA

Size in sector

00

01 01 00

07

FE 3F 07

3F 00 00 00

C9 F5 01 00

 

-      하드 전체 Layout

MBR

Primary 1

BR

Extended 1

 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

Type

Name

Status

Start

Stop

Relative

size

07

NTFS

00

000101

073FFE

63

128457

05

FAT32

00

080100

0D3FFE

128520

96390

 

-      손상여부 확인

a.       Disk 전체 섹터와 인식된 파티션의 섹터 크기 확인

전체 섹터 크기      : 229824 sector

첫 번째 파티션 크기 : 128457 sector

b.       전체 섹터 중에서 거의 반만 가진 하나의 파티션만을 가졌다고 하기는 의심스럽다. 첫 번째 파티션 후에도 새로운 파티션이 있는지 찾아봐야 한다.

 

 

 

-      인식 오류 발생 원인

MBR 에는 파티션 하나만 기록이 되어 있었으나, Unused Disk Space가 약 52MB로 나타나, 한 개의 파티션이 더 있을 것을 의심. 첫 번째 파티션의 끝 지점을 확인하였더니 다음 섹터(128520)의 마지막 부분에 55 AA Signature가 확인됨. 그로부터 63섹터 떨어진 128583 섹터를 확인하였더니 VBR로 판단됨. , MBR 손상 및 확장 파티션의 BR 손상.


  

-      복원 과정

a.       첫 번째 파티션은 NTFS임을 확인(Signature : OEM String NTFS)

 

b.       마지막 섹터에 VBR 백업본 확인



 

c.       다음 섹터를 확인

c-1.  MBR 정보 확인한 두 번째 파티션 시작위치 : Starting LBA 08 F6 01 00 와 일치

c-2. 새로운 파티션이 시작되어야 함.

MBR확인 결과 2번째 파티션 시작주소(128520 섹터)

d.       마지막 2 Bytes에 “55 AA Signature 뿐으로, OEM String없음

d-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System Meta Data 등이 삭제된 것임

d-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임

 



 

e.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인 :

// OEM String 확인, FAT 확인(File System Meta Data) : VBR

Extended Partition, BR 정보가 조작된 것임

 

f.        2번째 파티션의 시작지점(VBR) 128583sector에서 새로운 파티션 추가(Add Partition)

 

 

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성



 

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 5. 12. 13:29
반응형

 

Case ① Boot Record VBR위치 정보 손상된 경우

 

-      복원 전 MBR : Partition Table Layout

Bootable Flag

Starting CHS

Partition Type

Ending CHS

Starting LBA

Size in sector

00

01 01 00

07

FE 3F 07

3F 00 00 00

C9 F5 01 00

00

00 01 08

05

FE 3F 0D

08 F6 01 00

86 78 01 00

 

-      하드 전체 Layout 

MBR

Primary 1 (NTFS)

BR

Extended 1 (FAT32)

 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

Type

Name

Status

Start

Stop

Relative

size

07

NTFS

00

000101

073FFE

63

128457

05

FAT32

00

080100

0D3FFE

128520

96390

 

-      손상여부 확인

a.       Unused Disk Area의 크기 확인

// 50 MB로 나타나, 파티션이 삭제되거나 인식되지 않았을 가능성 있음

 

b.       MBR 확인

Partition Table 확인 결과 총 2개의 Partition 정보가 수록되어 있으나, Encase에서는  C 드라이브 1개만 인식하고 있음

// Partition Table 해석 : 229824 섹터 중 첫 번째 파티션은 128457개의 섹터의 용량 차지, 시작 LBA 63섹터. 두 번째 파티션은 96390섹터의 용량을 차지, 시작 LBA 128458 섹터.

 

 

 

-      인식 오류 발생 원인

두 파티션 모두 Master Boot Record Partition Table에는 제대로 정보가 나타나 있었고, 첫 번째 파티션 (Primary Partition) VBR 또한 이상 없었지만, 두 번째 파티션의 경우 Extended Partition 으로 보이는데, BR VBR 위치 정보가 기록되어 있지 않아(손상) 인식이 되지 않음.

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 3. 26. 23:19
반응형

0.    Unallocated Cluster

-      Encase가 제대로 파일 시스템을 인식하지 못한 상태

 

1.    MBR의 복원

-      Bootcode는 깨끗한 MBR Bootcode를 복사하여 붙여넣고,

-      Partition Table이 깨진 경우 각각의 파티션 정보를 수집하여 직접 Partition Table Layout에 맞춰 입력해주도록 한다.

-      Forensics 관점에서는 MBR을 완전히 복원할 필요 없이(부팅이 목적이 아니므로), Partition Table만 복원하는 것으로 충분하다.

 

2.    VBR 의 복원

-      VBR은 수작업으로 복원하기가 어렵다. 각 필드 하나하나를 채우기가 어렵기 때문이다.

-      일반적인 경우 백업본을 활용하는 것이 좋다.

-      NTFS인 경우 파일 시스템의 맨 마지막 섹터에 백업본이 있다.

(파티션 매직 같은 프로그램을 사용했을 경우 백업본을 정상적으로 놔두지 않은 경우가 많아 복원이 어렵기도 하다.)

-      FAT인 경우 FAT12 FAT16은 백업본이 없고, FAT32의 경우 백업본이 존재하나 위치가 고정되어 있지 않다. (아이러니하게도 VBR에 백업본의 위치가 기록되어 있다.)

-      따라서, VBR이 손상되었을 경우, 문자열 Search를 하거나(하지만 결국 Reserved영역 안에 있으므로, 섹터 사이즈가 크지 않기 때문에 시간은 얼마 걸리지 않는다.), MS의 경우에 대체로 VBR로부터 6섹터만큼 떨어진 곳에 있으므로 이를 확인해본다.

-      Encase Forensic Training버전의 경우, 복구할 VBR 위치에서 'Add Partition' Option 'Backup Boot Record'를 체크하면 자동으로 VBR 백업본을 활용하여 Partition을 인식하는 기능을 가진다.

-      Encase LE(Law Enforcement) 버전의 경우에는 위의 Option이 존재하지 않으므로, 수작업으로 직접 백업본을 원래 VBR에 덮어써주어야 한다.

-      그러나 Encase는 이미지의 직접 Data 수정이 불가하므로, Encase Prosuite(인증서 필요) PDE 기능을 활용하여 실제 디스크로 인식시키면 된다. 이 또한 없는 경우, 해당 이미지 파일을 Winhex에서 열어 백업본 위치의 Block을 복원할 위치에 복사하면 된다.

 

c.f) Encase Prosuite

- PDE(Physical Disk Emulator, 실제 디스크로 인식시켜서 활용가능),

- VFS(Virtual File System),

- EDS(Encase Decryption Suite) 기능 활성화.

c.f) PDE 활용

- Mount as Emulated Disk : EncaseServer 역할을 하고, Client에서

수정여부 기록 가능 (Disable Caching uncheck)

 

3.    Encase가 인식한 파티션 외에 다른 파티션이 존재하는지 여부 확인 (Keyword Searching)

-      하드 전체를 선택 한 다음 Unused 공간의 Report를 확인하여, 공간이 너무 많이 남은 경우 다른 파티션이 있었는데 삭제 된 경우로 의심해 볼 수 있다. (또는 MBR 손상을 의심할 수 있다.)

-      이 때 Unused space에서 'OEM String' Keyword Searching을 통해 VBR을 찾아서 확인해 볼 수 있다.

-      Keyword Searching 방법

New Keyword           : 키워드 생성

GREP (check)            : 정규식 사용

Search expression       : (NTFS)|(MSWIN4.1)|(MSDOS5.0)

Name                  : VBR OEM String

Case Sensitive (check)    : 대소문자 구별하는 경우

Unused Disk Area (check) : 인식하지 못한 디스크 공간에서 VBR 검색

Selected entries only – Search each entry for keywords.

Selected keywords only (check) : 선택한 키워드만 검색

-      결과는 'Search Hits' 탭에 나오며. Backup Boot Record여부를 섹터 번호를 확인한다. Encase Sector 단위로 검색을 하지 않아 오탐이 많으므로 주의한다.

-      이후 VBR 시작 위치가 확인되면, 직접 해당 위치에 가서 Add partition 을 해주면 된다.

(이때 Unused sectors before VBR 에서 Primary Partition의 경우, 앞에 Boot Record가 없이 바로 붙어있으므로 '0', Extended Partition의 경우, VBR63섹터 앞에 Boot Record가 존재하므로 '63'을 입력한다.)

c.f) Keyword Global Keyword Local Keyword로 나뉜다.

Global Keyword : Case 탭 옆의 Keyword. 모든 케이스에서 사용가능.

Local Keyword : Home 옆의 Keyword. 해당 케이스에서만 사용가능.

반응형
Posted by CCIBOMB
Digital Forensics/EnCase2010. 3. 26. 01:21
반응형

Physical disk를 조사할 때 그 첫번째 단계는 그 전체 크기를 계산해보는 것이다. 예를 들어, 250-GB Physical disk로부터 생성한 증거이미지로 조사를 하는데, 이 디스크에 하나의 100-GB의 파티션만 존재한다고 나타난다면, 150-GB의 공간은 계산되지 않은 것이다. 만약 이 공간이 삭제된 파티션을 포함하고 있다면, 조사관은 이 파티션을 복구하여 유용한 정보들을 추출할 수 있을 것이다.

 

(1) 볼륨 분석 (Volume Analysis) – Volume Layout 파악

 

0.     우선 MBR을 찾은 다음 partition의 합이 맞는지 점검

(숨어있는 파티션 -저장되지 않은 파티션- 이 있는지 확인하는 절차이다.)

// MBR : 적색으로 표시된 Sector

MBR Master Boot Record의 약자로, Hard drive의 첫 번째 Physical sector (sector 0)로서, 512 bytes의 크기를 가진다.

Executable Code (Active Partition Volume Boot Record를 위치시키고 로드함), 에러 메시지, 마스터 파티션 테이블과 마지막의 55h AAhSignature로 이루어진다.

 

 

// MBR 510, 511번째 byte 55 AA라는 것을 확인


 

// 위의 분석 결과, 파티션 크기의 합과 전체 크기가 불일치.
(안 쓰는 공간이 있거나 기존 사용 한 후 삭제한 파티션이 있는 경우,
혹은 파티션 테이블이 깨졌거나 예전에 포맷하고 남은 영역으로 의심할 수 있다.)

 

1.    Partition Table 해석 (Entry size : 16 bytes)

 

-      Partition Table Layout

 

                      // Bootable Flag : Active (1 byte, 80 = YES, 00 = NO)

                        Starting CHS address (3 bytes, 단위 : sector)

                        Partition type (1 byte)

                        Ending CHS address (3 bytes, 단위 : sector)

                        Starting LEA Address : Relative Sector offset (4 bytes, 단위 : sector)

                        Size in Sector : Total Sectors of partition (4 bytes)

 

 

-      Bookmark 기능 : 데이터를 분석하다가 나중에도 다시 보아야 할 데이터를 표시해두는 기능인데,  이 과정 중에 데이터를 해석하게 할 수 있다.

 

            // MBR Signature 64byte가 바로 Partition Table이다.

여기에서 Bookmark는 마우스 오른쪽 버튼 클릭 -> Bookmark Data

 

// Encase의 기본 템플릿 중 Windows - Partition Entry를 선택하면 분석결과가 Bookmark된다.
(Data Filetype : Partition Entry)


2.    Partition 위치 확인

 

// Size값을 통해 Partition 위치 확인

 

3.    첫 번째 파티션 확인

-      NTFS 가 시작하는 곳은 MBR로부터 63 sector만큼 떨어져 있는 곳이다.

(File System MBR로부터 63 sector 떨어진 곳에 위치한다.)

 

// Ctrl + G (Go to Sector : 63)

           // VBR에서 File System Signature 확인 (OEM String : NTFS)

VBR Volume Boot Record의 약자로서, File System마다 맨 앞의 Sector에 위치하여 파티션의 크기(VBR Sector Offset 40에 위치하며, Little Endian으로 저장되어 있으므로 우클릭 후 디코딩하여 확인가능) 등의 정보가 들어있다. MBR Partition Table에 저장된 파티션 크기 정보보다 VBR에 저장되어 있는 파티션 크기 정보가 1 sector 모자라는 것을 확인할 수 있는데, 이는 VBR의 백업본을 해당 파티션의 마지막 섹터에 보존하는 NTFS의 포맷 특성으로부터 비롯된다.



4.    다음 파티션 확인

-       Ext DOS가 시작하는 곳은 NTFS 파티션의 Size 이후이다.

NTFS 파티션이 10,233,405 라고 사용한다고 하였으나 Sector 0번으로 시작하므로 새로운 파티션은 10,233,405부터 사용되는 것이다.

 

// Ctrl + G (Go to Sector : 10233405)

 

-      해당 파티션이 Primary Partition인 경우 이 섹터는 VBR이 위치해야하고, 해당 파티션이 Extended Partition인 경우 MBR이 아닌 보통의 Boot Record가 확인되어야 하는데 (Extended Partition의 경우, MBR의 Partition Table에 Entry로 등록되지 않으므로 별도의 Boot Record를 지니게 된다.) Signature 55 AA를 제외한 나머지 부분은 모두 빈 공간으로 나타나 있음을 볼 수 있다. 원래 BR에는 Bootable Partition이 아닌 경우, Boot Code는 제외하더라도 자기 파티션의 시작 위치와 다음 파티션의 BR 시작 위치를 기록하는 Partition Table이 존재하여야 하나, 모두 빈 공간으로서 0 으로 채워져 있음은 해당 BR이 깨졌음을 의미한다.

 

 

-      해당 섹터로부터 63 sector 떨어진 곳에 파일시스템의 Signature가 존재하는 것으로 보아, Extended Parition이며, 해당 섹터는 Boot Record이며 Partition Table이 깨져있었음을 확인할 수 있다.

 이 때, MBR의 Partition Table을 분석한 파일시스템과 해당 파일시스템의 VBR OEM String Signature가 불일치하는 경우, 의심스러우므로 다시 확인해보아야 한다.

 


반응형
Posted by CCIBOMB