파일 시스템 복구
훼손된 파티션 확인
FTK Imager로 증거매체를 불러와서 확인하면 파티션 옆에 Unrecognized File System, Recovered 또는 Deleted로 나오는 경우가 있다. 이런 경우는 파일 시스템이 훼손된 경우이다.
Unrecognized File System으로 나오는 경우 파티션 복구가 필요하다. 하지만 Recovered 또는 Deleted는 Autopsy에서 열 경우 복구하지 않아도 안에 내용을 확인할 수 있어 복구할 필요가 없다.
FAT 파일 시스템 복구
생성한 이미지를 확인한 결과 FAT32 파티션에 문제가 있다면, RAW(DD) 파일로 이미지를 다시 생성하고 HxD에서 복구해주어야 한다.
‘도구 -> 디스크 이미지 열기’에서 이미지 파일을 불러오면 된다. 기본적으로 1섹터당 512 bytes를 1 섹터로 표현하고 있기 때문에 Sector size를 512로 설정하면 된다.
파일을 열게 되면 0번 섹터부터 표시된다. MBR의 파티션 테이블을 보면 128번 섹터에 파티션1번의 BR이 있다. 만약 MBR이 없이 바로 FAT의 BR이 나오는 경우 바로 다음 단계로 넘어가면 된다.
128번 섹터로 가면 BR이 깨져 있는 것을 알 수 있다. FAT의 경우 BR을 기준으로 BR의 백업이 뒤로 6번째 섹터에 뒤에 위치하기 때문에 이를 복사하여 BR위치에 덮어써주면 복구할 수 있다.
134번 섹터에 있는 값을 복사해서 128번 섹터에 덮어씌워주면 된다.
저장한 뒤 FTK Imager로 열어보면 파티션 복구가 정상적으로 이루어진 것을 알 수 있다.
NTFS 파일 시스템 복구
생성한 이미지를 확인한 결과 NTFS 파티션에 문제가 있다면, FAT와 동일하게 RAW(DD)파일로 이미지를 다시 생성하고 HxD에서 복구해주어야 한다.
MBR의 파티션 테이블을 보면 NTFS의 BR은 128번 섹터에 위치하고, 198,656개의 섹터로 구성된 것을 알 수 있다.
128번 섹터를 확인해보면 NTFS의 BR이 깨져있다. NTFS BR의 백업본은 NTFS파티션의 맨 마지막에 위치한다. 따라서 맨 마지막 섹터를 덮어씌워주면 복구할 수 있다.
NTFS 파티션은 128번 섹터에 위치하고, 198,656개의 섹터를 가지고 있으므로 마지막 섹터는 198,783(128+198656-1) 번 섹터이다.
198,783번 섹터를 128번 섹터로 복사해서 덮어씌워주면 된다.
FTK Imager로 확인해보면 정상적으로 복구된 것을 볼 수 있다.