본 글은 요청시 풀이 보고서가 내려갈 수 있으며,
만약 저작권 등에 위반된다면, 지체없이 댓글 또는 pental@kakao.com 으로 연락주시길 바라겠습니다.

해당 블로그에서는 총 6개의 분석 섹션으로 나눠 포스팅을 할 예정이다. 각각 섹션은 다음과 같다. 현재 세션은 굵은 글씨로 표시되어 있다.

1. 이미징 작업
2. 손상된 파티션 복구
3. 파티션 목록
4. 아티팩트 분석
    1. 운영체제 분석
      1.1. PC 정보 분석
      1.2. PC 사용자 분석
      1.3. 설치된 프로그램 분석
    2. 웹 아티팩트 분석
      2.1. Chrome 분석
      2.2. Edge 분석
      2.3. Firefox 분석
    3. Email 분석
    4. 메신저 분석
      4.1. Telegram 분석
      4.2. WeChat 분석
    5. 음원 파일 분석
      5.1. 웹 다운로드 음원 파일
      5.2. 이메일 첨부파일 음원 파일
      5.3. 로컬에 존재하는 음원 파일
    6. 안티포렌식 분석
5. 타임라인
6. 문제풀이

2.     손상된 파티션 복구

그림 4 FTK Imager을 통해 확인한 손상된 파티션

 

[그림 4]에서 확인 할 수 있듯이, 파티션 4개 중 1개는 Unrecognized file system으로 파티션이 손상되어 내부 정보를 확인 할 수 없다. 따라서 손상된 파티션 복구 작업을 진행한다. 파티션 4번만 따로 추출해 복구를 진행한다.

그림 5 손상된 파티션 이미징 과정

 

추출된 이미지 파일의 정보는 다음과 같다.

항목
FileName Broken_Partition_4.001
Size 10,736,369,664 Byte
MD5 7a7001e6d88a901b614053c11fe25c48
SHA1 a37a6498274fc92f199f72b7f8cb2a2cee362cde

표 6 손상된 파티션 이미징 정보

 

표 7 손상된 파티션의 VBR 정보 (좌 섹터 0, 우 섹터 20,969,472)

 

[ 7] 의 좌 사진은 손상된 파티션의 0번 섹터이며, 우 사진은 20,969,472번으로 마지막 섹터이다. NTFS 파티션의 경우 0번 섹터에는 VBR을 가지고 있으며, 백업 VBR은 마지막 섹터에 존재한다. 따라서 마지막 섹터의 VBR 0번 섹터로 복사하여 복구를 진행한다.

그림 6 손상된 VBR 복구 과정

 

[그림 6]은 백업 VBR 0번 섹터로 덮어쓴 그림이다. 복구 후 FTK Imager에서 인식한 결과는 [그림 7]과 같다.

 

그림 7 FTK Imager을 이용한 복구된 파티션 인식 결과

 

복구된 파티션 정보는 다음과 같다.

항목
Volume Name 새 볼륨
Volume Serial Number 2E2B-0757
Cluster Size 4,096
Cluster Count 2,621,183
Free Cluster Count 2,579,843
Sector Count 20,969,472
Bytes per Sector 512

표 8 복구된 파티션 정보

본 글은 요청시 삭제 될수 있는 포스팅입니다. 문제가 있다면 지체없이 댓글 또는 pental@kakao.com 으로 연락부탁드리겠습니다.

감사합니다.

저작자표시 비영리

'Forensics' 카테고리의 다른 글

제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #4-1 아티팩트 분석 (운영체제 분석)  (0) 2025.02.03
제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #3 - 파티션 목록  (0) 2025.02.03
제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #1 - 이미징 작업  (0) 2025.02.03
제 10회 디지털 범인을 찾아라 - 문제 풀이 보고서 #0 - 대회 소개 및 분석 환경  (0) 2025.02.03
카카오톡 포렌식 도구 개발 - Windows, iOS, Android, Mac 운영체제 카카오톡 디비 복호화  (18) 2025.01.03

티스토리툴바