EnCase v20(2) - 삭제된 파티션 복구하기

EnCase에서 삭제된 파티션 복구하기

안녕하세요 EnCase에 대해 다루는 두번째 포스팅을 시작해보겠습니다. 타이틀을 EnCase에서 삭제된 파티션 복구하기라고 적었는데요. 사실 삭제라기 보다는 파티션을 숨겨놓았다고 해야할지..?
MBR의 Partition Table 영역에서 특정 파티션에 대한 값이 지워져있을 때 인식되지 않는 파티션을 다시 인식시키는 과정을 다뤄보겠습니다.

---

1. EnCase에 이미지 파일 마운트

EnCase Version : EnCase Forensic Training v20.2
Image File OS : Windows 10

• 첫 번째 포스팅에서 진행했던 것처럼 이미지 파일을 EnCase에 올려준 후 Tree Pane에서 증거 파일을 선택하고 하단의 Report 탭을 눌러서 정보를 확인합니다. Total Size가 약 20GB로 측정이 되어 있는데 Partitions 표의 Size를 합쳐보면 약 12GB로 측정된 것을 알 수 있습니다. 이를 통해서 파티션 정보가 누락이 되어있다는 사실을 의심할 수 있습니다. 실제로 파티션이 누락되어 있는지 확인을 해보겠습니다.

2. Disk View 확인

• Table Pane 위에 보면 메뉴바가 있는데 그 중에서 Device를 클릭하고 Disk View를 눌러줍니다. Disk View에서는 이미지 파일의 데이터를 섹터 단위 혹은 클러스터 단위로 보여줍니다.

• 섹터 단위로 보려면 View Clusters 항목을 체크 해제하면 됩니다. 아래 그림을 봤을 때 화면 중단에는 섹터 단위로 쭈욱 나열되어 있는 것을 볼 수 있고 특정 섹터를 클릭하게 되면 하단에서 그 섹터에 대한 Hex 값을 확인할 수 있습니다. 그리고 가장 밑의 부분에 PS 0 SO 32 FO 32 LE 6 이라는 글자가 보이는데 이는 Hex 영역에서 선택한 부분에 대한 정보를 나타내는 것입니다. 해석해보면 0번 섹터의 32번 byte 부터 6byte 만큼 블록이 되어있다는 뜻입니다.
  추가로 Disk View에서는 Ctrl+G 키를 통해 섹터를 자유롭게 이동할 수도 있습니다.

• 파티션테이블의 정보를 확인하기 위해 MBR이 위치하는 0번 섹터를 선택하고 hex 값을 확인합니다. 파티션테이블의 크기인 64byte만큼 블록을 지정해주고 우측의 Decode->View Types->Windows->Partition Entry를 선택하면 표 형식으로 파티션 정보를 확인할 수 있습니다. 아래 그림을 보면 세 번째 파티션의 데이터가 없다는 것을 확인할 수 있습니다.

3. Case Processor 사용하기

• 파티션테이블을 보고 직접 수동으로 계산해서 파티션의 시작주소를 찾는 방법도 있겠지만 Case Processor라는 기능을 통해 파티션을 찾을 수도 있습니다. 상단의 EnScript->Case Processor를 선택해주면 됩니다. 그리고 정보를 작성한 후 다음, 마침을 하면 화면 하단에 Case Processor의 진행표시줄이 보일 것입니다!

 

 

• Case Processor 작업이 완료되면 상단의 View->Bookmarks에서 결과를 확인할 수 있습니다. 북마크에 가보면 아래 그림과 같이 아까 입력했던 삭제된 파티션의 VBR정보 찾기 결과가 있는 것을 알 수 있습니다. 이것을 더블클릭하면 안에 Partition Finder가 있고 그 안에 올렸던 이미지 파일의 폴더가 있습니다. 다시 이 폴더에 들어가면 Case Processor가 찾은 파티션들의 정보가 나타나있습니다.

• 여기서 파티션의 정보를 보면 Unused Disk Area인 것을 통해 할당되지 않은 파티션임을 알 수 있고, 파티션의 총 섹터 크기 및 파일 시스템 종류를 포함하여 시작 섹터가 23,457,792라는 사실을 확인할 수 있습니다. 바로 Disk View의 해당 섹터에서 확인을 할 수도 있겠지만 Go to File을 통해 확인을 해보겠습니다.

• 해당 파티션이 위치한 곳의 Hex값을 보니 exMSDOS5.0이 있는데, 이는 FAT32 파일시스템의 VBR 영역에서 볼 수 있는 점프코드와 OEM ID값입니다. 이를 통해 해당 파티션이 FAT32 파일 시스템을 사용중인 것을 알 수 있습니다.
  아래 그림처럼 Hex값에 블록을 지정하고 우클릭->Device->Disk View를 하게 되면 해당 Hex값이 위치한 섹터를 Disk View에서 확인할 수 있습니다.

• Disk View로 오게 되면 해당 섹터가 지정이 되어 있습니다. 위치도 앞서 봤던 23,457,792 섹터인 것을 알 수 있고 Hex 값에서도 FAT32 파일시스템의 VBR 구조임을 다시 한 번 확인할 수 있습니다.
  여기서 해당 파티션을 인식할 수 있도록 해보겠습니다. 상단의 Partitions->Add Partition을 눌러줍니다.

나머지 값은 이미 입력이 되어 있기 때문에 Volume Type을 지정해주고 OK를 하면 파티션 인식이 완료됩니다.

• Disk View에서도 할당된 섹터들의 색깔이 바뀐 것을 알 수 있습니다. 한 가지 주의할 점은 실제 이미지 파일의 Hex값이 변경되는 것은 아니고 단순히 EnCase 안에서만 인식이 되었다고 보면 되겠습니다. 당연히 증거 파일의 데이터가 바뀌면 안되니까요.

• 그리고 다시 마운트 된 이미지를 열어보면 아래 그림과 같이 처음에는 없던 볼륨이 인식되어 있는 것을 확인할 수 있습니다.

이번 포스팅에서는 Case Processor를 사용하고 Disk View 에서 값을 보며 파티션을 복구하는 방법에 다뤄봤습니다. 역시 인케이스에서 제공해 주는 기능이 강력하다는 것을 한번 더 느낄 수 있었네요.