HxD를 사용하여 손상된 파일시스템(FAT32) 복구하기

필요실습 도구 : FTK imager, HxD, FAT32.001(손상된 파일시스템)

디지털포렌식을 진행하다보면 증거 USB를 분석하기 위해서 사본이미지를 작성하게 된다.

그런데 일부 USB에서 파일시스템이 문제가 생겨 복구가 필요한 상황이 오게되는데

그중에서 대부분의 USB 파일시스템 형식은 FAT32 파일시스템을 복구해 보도록 한다.

FTK imager를 통해 해당 이미지 파일을 열어보면 이렇게 문제가 생겨 데이터가 보이지 않는다.

HxD Tool을 열어 해당 이미지 파일을 불러온다.

섹터크기는 하드디스크/플로피디스크 (512)로 설정한다.

처음 열게 되면 이 이미지의 MBR이 가장 먼저 보여지게 된다. MBR은 대부분 섹터0에 위치해 있다.

이제 BR의 시작 주소를 먼저 찾아야 하는데

왜 이 값을 찾고 어떻게 찾는지는 FAT32 파일시스템의 구조를 알면 이해가 된다.

이부분은 http://jjinfotech.tistory.com/71 에서 확인해본다.

파티션 시작 주소를 찾아보면 그림과 같이 80 00 00 00 이라는 값을 볼 수 있다.

하지만 실제로 값을 계산할때는 00 00 00 80(16진수) 로 계산을 해야 한다.

이유는 컴퓨터는 값을 저장할때 Little Endian(리틀엔디언) 방식으로 저장을 하기 때문에

우리가 볼때와는 다르게 반대로 읽어줘야 한다.

이 16진수 값을 10진수로 변환하면 128이라는 값이 나오게 된다.

  

128 섹터로 이동을 해보면 BR(boot record)이 망가져있는 것을 볼 수 있다.

FAT의 경우 BR을 기준으로 6~8번 섹터에 BR의 복사본이 위치해 있다.

이 것을 이용해서망가진 BR을 복구하면 원래의 파일시스템에 접근이 가능한 것이다.

이제 128섹터를 기준으로 6번째 섹터 134로 이동을 해보면 다음과 같이 BR의 복사본을 볼 수 있다.

이제 이 값들을 복사를 한다.

그리고 다시 128 섹터로 돌아가서 붙여넣기 쓰기를 진행하면

이렇게 값들이 빨간색으로 변하면서 값을 덮어쓰게 된다.

** 만약 붙여넣기 삽입을 하게 되면 섹터가 밀려나거나 깨질 수 있고 값이 변경될 우려가 있기 때문에

붙여넣기 쓰기를 해야한다.

이제 저장을 하고 FTK Imager로 열어보면 데이터들이 보이게 된다.

** 해당 실습파일 및 내용 참조는 https://blog.naver.com/bitnang/220188715461 에서 하였으며

개인적인 공부를 위해 작성되었습니다.