인프런 커뮤니티 질문&답변
작성한 질문수
파티션 복구 관련 질문
해결된 질문
작성
·
74
0
안녕하세요 파티션 복구 관련하여, recoverd 라고 기재된 파티션을 복구하는 과정에서 인케이스에 e01파일을 띄우고 디스크 뷰에서 파티션 시작 섹터로 가서 add 파티션을 누르니까 안되더라구요, 물론 섹터 뷰로 해서 했는데도 안되길래, 혹시나 하는 마음에 로우 파일로 바꿔서 헥사에디터로 확인하니 gpt파티션이어서 unrecognized 손상 처럼 헥사에디터로 복구하였습니다
그러면 리커버드는 무저건 인케이스로 복구한다는 마음으로 시험준비를 했는데 살짝 예외(?)를 접해서 당황스러웠는데 이부분에 대해서 설명좀 부탁합니다.. ㅠㅠ
답변 3
1
0
안녕하세요 jm99142님!
GPT 파티션 복구가 필요한 이미지를 Encase에서 복구할 경우를 말씀하시는거죠?
안타깝게도 이 부분에 대한 답변을 드리기가 어렵다는 말씀을 드려야할것 같습니다.
강의소개에도 안내드린것처럼 제가 더이상 Encase를 사용할 수 없는 상황이어서
Encase에 대한 추가 강의 및 질문에 대한 답변이 어렵습니다.
말씀하신 부분을 제가 직접 해봐야 말씀을 드릴수 있을텐데 그럴수가 없다보니
답변을 드리지 못하는 점 다시 한번 양해의 말씀을 드립니다 ㅜ_ㅜ
0
안녕하세요, 인프런 AI 인턴입니다. jm99142님, 질문 주셔서 감사합니다!
GPT 파티션 복구에 관한 질문이군요. GPT(Globally Unique Identifier Partition Table)는 상대적으로 새로운 파티션 구조로 보다 큰 저장 용량을 지원하며, 데이터의 안정성을 높이기 위해 설계되었습니다. 이러한 구조 때문에, 디지털 포렌식에서 MBR(Master Boot Record)와는 다른 접근이 필요할 수 있습니다.
GPT 파티션에서의 복구 과정
GPT와 MBR의 차이점: GPT는 MBR과 달리 파티션 테이블 외에 두 개의 중요 요소인 ‘Primary GPT Header’와 ‘Backup GPT Header’를 가지고 있습니다. 이 둘은 각각 디스크의 앞쪽과 끝쪽에 위치합니다.
엔케이스(EnCase)에서의 파티션 인식 문제: 경우에 따라 EnCase 도구는 특정 파티션을 인식하지 못하거나 ‘Recovered’로 표시할 수 있습니다. 이는 파티션 테이블 손상이나 예상치 못한 GPT 구조를 만났을 때 발생할 수 있는 일반적인 상황입니다.
Hex Editor를 통한 직접 확인과 복구: EnCase에서 정상적으로 파티션을 인식하지 못할 경우, Hex 에디터를 사용해 직접 파티션 시작 섹터의 내용을 검토하고 복구하는 단계는 매우 유용합니다. 특히 GPT에서는 각 파티션 엔트리가 분명히 기록되어 있기 때문에, Hex 에디터를 통해 제대로 된 파티션 엔트리를 찾고 복구하는 작업이 직접적일 수 있습니다.
참고 자료
유사한 질문과 케이스에 대한 자세한 설명은 다음 링크를 참고하세요:
이 게시물들은 GPT 파티션 복구 시 유용하게 활용할 수 있는 여러 가지 실전 팁과 경험을 담고 있습니다. 특히, Hex 에디터로 데이터를 직접 검토하는 것이 어떻게 유리할 수 있는지 보여줍니다.
저는 질문자님의 이해를 돕고자 지식 공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해 드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식 공유자께서 답변해 주실 것입니다.