DFIR/File System

    GPT(GUID Partition Table) - (2) 손상된 GPT 백업본 기반 복구
    DFIR/File System

    GPT(GUID Partition Table) - (2) 손상된 GPT 백업본 기반 복구

    지난 번에 포스팅한 GPT 구조를 바탕으로 GPT가 손상되었을 때 백업본을 기반으로 해서 복구하는 방법에 대해 포스팅해보겠습니다. GPT 백업본 기반 복구 정상적인 이미지라면 0번 섹터에 Protective MBR, 1번 섹터에 GPT Header, 2번 섹터부터 GPT Partition table Entry가 위치해야 되지만 위의 손상된 이미지에는 데이터가 0으로 덮여있는 것을 확인할 수 있습니다. 이와 같은 경우 FTK Imager에서 이미지 마운트를 시도할 경우 파티션이 인식되지 않습니다. 이런 상황에서 FTK Imager에서 마운트할 수 있도록 백업본을 기반으로 MBR과 GPT를 복원하는 방법을 알아보겠습니다. GPT 백업본 기반 복구 - (1) 체크리스트 GPT 구조는 위와 같이 GPT Head..

    GPT(GUID Partition Table) - (1) 개요 및 구조
    DFIR/File System

    GPT(GUID Partition Table) - (1) 개요 및 구조

    앞서 MBR을 다뤘을 때, MBR의 한계를 극복하기 위해 생긴 것이 GPT라고 했었습니다. 이번에는 GPT가 어떤 것인지, 어떻게 구성되어있는지에 대해 분석해보겠습니다. GPT(GUID Partition Table) GPT는 MBR의 파티션 테이블 용량 제약을 개선하기 위해서 생겼습니다. MBR은 32bit 주소체계를 사용하고 있기 때문에 2TB의 용량 제한을 가지고 있습니다. (2^32 * 512) GPT는 64bit 주소체계를 사용하기 때문에 이론적으로 8ZB의 용량까지 사용이 가능하나 18EB 정도로 제한을 두고 있다고 합니다. (2^64 * 512) 그래서 64bit 운영체제를 사용하고 있다면 MBR보다는 GPT를 사용하고 있을 가능성이 크겠습니다. MBR에서는 주 파티션을 4개까지 생성이 가능하..

    ADS(Alternate Data Stream)와 디지털 포렌식
    DFIR/File System

    ADS(Alternate Data Stream)와 디지털 포렌식

    안녕하세요. 저번 달 DFC(2021)에 ADS를 분석하는 문제가 출제되었더라구요, 덕분에 ADS에 대해서 공부를 해보게 되었습니다. 그래서 이번 포스팅에서는 악성 페이로드를 숨기는 데 자주 사용되는 기술인 ADS에 대해서 알아보겠습니다. 1. ADS(Alternate Data Stream) 개념 ADS는 macOS HFS 파일시스템과의 호환성을 목적으로 처음 생기게 되었으며, 파일에 사용되는 기본 스트림 외에 다른 데이터 스트림을 추가로 저장할 수 있는 NTFS 파일 시스템에서 제공하는 기능입니다. NTFS 파일시스템에서는 파일이 $DATA 속성을 하나 이상 가질 수 있습니다. 하나의 파일에 $DATA 속성이 여러 개 올 수 있다는 의미인데 추가적으로 존재하는 $DATA 속성을 ADS라고 합니다. 위 ..

    슬랙 공간(Slack Space)
    DFIR/File System

    슬랙 공간(Slack Space)

    파일 시스템에 대해 공부하다 보면 슬랙 공간이라는 개념을 접할 수 있습니다. 이번 포스팅에서는 슬랙 공간이 뭔지, 슬랙 공간에는 어떤 종류가 있는지 알아보도록 하겠습니다. 슬랙 공간(Slack Space) 슬랙 공간은 논리적인 크기와 물리적인 크기 차이로 인해 낭비되는 공간입니다. 디스크는 섹터 단위로 읽고 쓰기 작업이 이루어지며 디스크 입출력 속도를 향상시키기 위해서 여러 개의 섹터를 묶어서 한 번에 처리하는 클러스터라는 개념을 사용합니다. 디스크는 섹터, 클러스터 단위로 입출력을 처리하지만 파일의 데이터는 가변적이기 때문에 파일의 크기와 섹터, 클러스터의 크기 차이로 인해서 이러한 슬랙 공간이 발생하는 것입니다. 슬랙 공간의 종류에는 램 슬랙, 파일 시스템 슬랙, 볼륨 슬랙, 파일 슬랙, 드라이브 슬..

    MBR(Master Boot Record), Partition Table 분석
    DFIR/File System

    MBR(Master Boot Record), Partition Table 분석

    MBR이라는 용어를 들어보신 적이 있으신가요? 디스크 구조에 대해서 접해보셨다면 한 번 쯤은 들어보셨을지도 모르겠습니다. 이번 포스팅에서는 MBR이 뭔지, MBR의 구조는 어떻게 되어있는지에 대해서 알아보도록 하겠습니다. MBR을 살펴보기에 앞서 GPT(GUID Partition Table)라는 개념이 있습니다. 이는 저장매체의 용량이 증가하게 되면서 MBR이 다룰 수 있는 용량적인 한계를 개선하기 위해서 도입된 개념입니다. GPT에 대해서는 다음에 자세히 다뤄보도록 하겠습니다. 저장매체 구조 MBR(Master Boot Record)은 풀네임 그대로 부트레코드들의 마스터라고 보면 되겠습니다. 쉽게 얘기해서 컴퓨터가 부팅이 될 때 가장 먼저 참조하는 영역입니다. 저장매체를 섹터단위로 구분했을 때 0번 섹..

티스토리툴바