Notice
Recent Posts
«   2025/02   »
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28
Tags more
관리 메뉴

목록Forensic (6)

Hacking Arts

FAT32 Analysis - 2

-FAT는 파일의 내용이 저장되어 있는 클러스터의 위치를 기록하는 표 -FAT2는 FAT1의 백업본 -FAT Entry는 4Byte씩 구성되어 있으며 각 클러스터와 대응(=>FAT Entry 번호는 클러스터 번호와 동일하다는 의미) -FAT1 영역에 대한 구조(97번 섹터) -최초 4Byte(0번 Entry)와 그 다음 4Byte(1번 엔트리)만 다르고 나머지 Entry는 자신의 번호와 일치하는 클러스터와 1:1 대응하며, 자신의 번호에 해당하는 클러스터의 상태 값을 저장 -클러스터 0번과 1번은 존재하지 않으므로 실제 데이터 영역의 맨처음에 오는 클러스터는 2번 클러스터 (8271섹터)임 -FAT Entry의 값이 0x?FFFFFFF => 해당 파일의 마지막 클러스터를 의미 (여기가 끝), 다른 표현으..
Forensic/File System Analysis 2014. 8. 23. 03:08
FAT32 Analysis - 1

FAT32의 큰 틀이다. -부트 레코드(Boot Record = BR)1)볼륨의 첫 번째 섹터를 의미(예약된 영역의 첫 번째 섹터 의미)2)이 영역의 크기는 하나의 섹터를 차지하고 있음3)windows를 부팅시키기 위한 기계어 코드와 FAT파일시스템의 여러 설정 값 -예약된 영역(Reserved Area)1)미래를 위해 예약된 영역으로 32섹터가 할당되어 있음 -FAT1 (First File Allocation Table)1)FAT 영역은 클러스터들을 관리하는 테이블이 모여 있는 공간※클러스터 : 섹터들의 집합으로 하드디스크에 파일을 저장하는 최소 논리적 단위 ( 클러스터당 섹터 갯수는 따라 틀려서 정확하게 찾아봐야된다.)2)이 영역의 내용을 통해 어떤 클러스터가 비어 있는지, 어떤 파일에 어떤 클러스터..
Forensic/File System Analysis 2014. 8. 23. 03:08
MBR(Master Boot Record) Analysis

-파티션된 기억장치의 첫 섹터인 512Byte 시동 섹터-Boot Strap Code , Partition Table Entry , Signature의 정보가 있음 1)Boot Strap Code-운영체제를 부팅시키기 위해서 부팅 파티션을 찾아서 해당 파티션의 BR의 BootStrapCode를 실행시킨다. 2)Partition Table Entry-파티션의 시작위치와크기 부팅 여부, 파티션 타입-4개의 엔트리-하나의 엔트리 하나의 파티션의 대한 정보-Boot Flag(1Byte) 0X80 -> 부팅 가능 0x00 -> 부팅 불가-Starting CHS Address (3Byte) : 파티션 시작 주소-Partition Type(1Byte) 0x07 -> NTFS 0x0B, 0x0C -> FAT32 0x0..
Forensic/File System Analysis 2014. 8. 23. 03:07
FAT32 - 2

FAT, Root Directory를 찾으면 되고 0x10 -> 16 클러스터당 섹터 수가 16개이다. FAT테이블을 보면 클러스터가 비어있는 것을 볼 수 있음. Root Directory FAT에 이런식으로 채워준다. 파일에 비어있는 것들을 복구 할 것이다. 이와같이 0xE5를 이름에 맞게 고쳐준다. 파일에 내용이 복구 된 것을 볼 수 있다.파일들을 찾을때는 +16씩 다니면서 디렉토리의 정보를 찾아내야된다.
Forensic/Disk Forensic 2014. 8. 23. 03:06
FAT32

일단 MBR을 통해서 이곳으로 오면 BR의 OEM name을 보고 아 이 file system은 FAT32인 것을 알 수 있다.일단 Byte Per Sector : 0x0200 -> 512 / Sector Per Cluster : 0x08 -> 8FAT32의 구성을 생각해보면 FAT1영역과 Root Directory를 찾아야한다.일단 Reserved area까지 더해주면 FAT1이 나오게된다. 이때 Reserved Area의 크기는 첫째줄 0E,0F위치에 있다. 그러므로 0x0024 -> 36섹터인 것을 알 수 있다. 그러므로 63+36해서 99섹터에 가보면 이 위치가 FAT1인 것을 알 수 있다. 클러스터를 사용하는 방법을 보여준다.저 파티션안에는 test라는 4KB가 할당되어있는 파일 그다음에 위에 ..
Forensic/Disk Forensic 2014. 8. 23. 03:05
MBR(Master Boot Record)

포맷 구성은 이렇다. 처음엔 Boot Strap Code 이다. 파티션 테이블의 위치는 저렇다.첫번째 파티션 LBA주소는 0x0000003F -> 0x0B -> FAT32 두번째 파티션 LBA주소는 0x007FF57A ->0x0C -> FAT32세번째 파티션 LBA주소는 0x00FFEB14 -> 0x0C -> FAT32네번째 파티션 LBA주소는 0x017FE09E -> 0x0F -> Extended Partition(확장 파티션)주소는 거꾸로 읽어나간다. 주소를 보면 확장 파티션이 있다고 하는 0x017FE09E -> 25157790섹터로 가보면 이와같이 확장파티션을 볼 수 있다.확장파티션의 경우 주파티션과같이 자신을 다시 재기준으로 삼는다. 즉 25157790+63을 하면 4번째 파티션인 논리 파티션을..
Forensic/Disk Forensic 2014. 8. 23. 03:05
이전 Prev 1 Next 다음