처음에 ftk imager로 열었는데 손상이 되었다고 나왔다.
어떻게 해야할 지 몰랐다.
풀이도 안나오고...
그러다가 아래와 같은 게시글을 확인했다.
https://weekhack.tistory.com/51
NTFS - 손상된 NTFS VBR(Volume Boot Record) 복구
안녕하세요. Luke입니다. 2022.01. 추가 해당 글은 계획적으로 작성된 글이 아닌 NTFS VBR을 복구하는 문제를 푼 뒤 인상 깊어서 이를 기록에 남기고 싶었기에 작성했던 포스팅입니다. VBR이 무엇인지
weekhack.tistory.com
이 글에서의 이미지 파일은 hxd로 열면 MBR 영역부터 나와있는데 이 문제에서 주어진 파일은 VBR부터 나와있는 것 같다.
어디가 손상되었는지 바로 파악하지 못했다.
그런데 마지막 섹터에 백업본이 있다는 것을 알게 되었다.
원래는 아래와 같이 구하는 게 맞는 것 같은데 이번엔 hxd에서 첫 세 바이트로 검색해보니까 바로 맨 마지막 섹터를 찾아내어 백업본이라는 것을 바로 확인할 수 있었다.
[디스크 포렌식] NTFS 파티션 복구
NTFS 파티션 복구 FTK Imager로 이미지 파일을 열어보니 파일 시스템을 인식할수 없다며 파티션이 손상된 것을 확인할 수 있습니다. 손상된 이미지 파일을 복구하기 위하여 HxD로 이미지 파일을 열어
s0ng.tistory.com
이 백업본을 첫 번째 섹터에 덮어쓴다.
그리고 001 파일로 저장하고 ftk imager로 열어보면 다음과 같이 발견할 수 있다. 이 파일을 export하면 인코딩된 스트링을 확인할 수 있다.
SWING{N3w_TeCHnoloGY_F1Le_SysT3M}
'정보보안 > forensic' 카테고리의 다른 글
| [NONamed] 우리들의 추억들 (0) | 2022.07.11 |
|---|---|
| [NONamed] 유출된 자료 거래 사건 2 (0) | 2022.07.11 |
| [NONamed] 유출된 거래 자료 사건 1 (0) | 2022.07.11 |
| 레지스트리, 하이브 파일 (0) | 2021.12.13 |
| volatility 플러그인 정리 (0) | 2021.12.12 |
댓글