해결된 질문
작성
·
369
0
Encase 외에도 직접 MBR, BR 내의 size in sector 등을 확인할 수 있어야 한다고 말씀주셨습니다. 이런 테이블은 어떻게, 어디에서 확인 가능한가요?
답변 3
0
0
FTK 이미저 또는 Encase로 접근할 수 있는것인가요? 인케이스 분석 결과외에도 별도로 확인하여 답안 기재하는것을 추천하신다하여 디포 프로그램 외의 다른 경로로 확인하여야 하는 것인지 여쭙습니다.
말씀하신 FTK Imager나 Encase의 Hex View를 통해서도 확인이 가능합니다만 보기에 조금 불편함이 있습니다. 그래서 파일의 16진수값을 제대로 보기 위해서는 HxD 사용하시는걸 추천드리고요. 또한 강의에서, 예를 들어 encase에서 확인한 섹터의 수에 대한 답을 작성할때 '추가로' MBR 또는 BR을 직접 분석해보니 이렇게 확인할수 있었다 ~ 이런 내용은 어디까지나 추가적인 부분으로 반드시 써야하는 부분은 아닙니다. 다만 그 내용을 정확히 썼을때, 단순히 Encase에서 보고 섹터의 수를 확인한 경우와, BR을 직접 분석해서 확인한 경우 중 당연히 후자가 정확히 알고 있구나 하는 느낌을 받을수 있겠죠. 물론 그렇게 BR분석을 통해서 답안을 작성했을때 점수를 무조건 더 높게 받을지는 채점기준에 따른 것이니 우리가 정확히 알기는 어렵습니다.
제가 강의에서 그러한 내용을 언급한 이유는 어쨌든 단순히 프로그램에서 보여주는것을 답안으로 작성하는것과, BR의 구조를 정확히 알고 분석할수 있는 능력이 있는것과는 차이가 있다보니 (분석능력과 시간상) '가능하다면' 그렇게 하는것이 채점자의 입장에서 봤을때 더 긍정적으로 보일거라는 말씀을 드린것이니 반드시 해야한다고 생각은 안하셔도 됩니다 !
0
안녕하세요 ryan 님~
Encase등의 포렌식툴에서 보여주는 정보를 찾는법외에도 MBR과 BR을 HxD를 이용해서 보면서 이정보가 어디에서 확인할수 있는지 알아야한다는 강의내용을 말씀하시는것 같아요.
그 내용은 MBR의 파티션 테이블과 BR분석을 해야확인이가능합니다.
커리큘럼상 [섹션5. 파일시스템]에 있는 [MBR 분석] 강의와 [FAT32&NTFS BR 분석] 강의 영상에서 확인하실수 있습니다~
궁금해하시는 부분은, 우선 증거 usb의 이미지를 생성했을때, 파티션이 훼손되어있을 경우 복구 하기 위해서 MBR과 BR의 기본 구조를 알아야하기 때문에 [섹션5. 파일시스템]에 MBR과 BR의 구조와 정보확인방법을 설명한 강의가 등록되어있습니다.
이러한 MBR과 BR의 구조를 확인하기 위해서는 프로그램은 HxD를 이용해서 이미지를 불러온후 확인이 가능합니다.
또한 실습을 위해서 단순 구조 확인을 위한 실습파일은 별도로 올려드리진 않았으나, [섹션8. 파티션 복구] - [HxD를 이용한 파티션 복구] 강의에 등록된 실습파일인 '파티션복구1.zip' 파일을 다운로드 받으시면 Fat32.001 파일과 NTFS.001이 있는데, 파티션 복구를 위한 실습파일이다보니 MBR은 정상이지만 각각의 BR이 훼손되어있어서 파티션복구 강의를 참고하셔서 BR 백업본을 찾으신 후 확인 가능합니다 !
혹은 가지고 계신 USB등을 이미징 해서 이미지 파일을 HxD로 열어보시는 방법도 있고요.
답변이 되셨을지 모르겠습니다, 혹시 더 궁금하신점이 있으시면 추가 질문 주시면 답변 드리겠습니다.
그리고 혹시라도 파티션 복구 섹션에 올라와 있는 실습파일의 사용에 어려움이 있으신경우 말씀해주시면 [섹션5. 파일시스템] 강의에 훼손되지 않은 별도의 FAT32 및 NTFS MBR/FAT32구조 확인용 실습파일을 올려드릴테니 말씀해주세요~
*MBR 구조 관련 영상 - [섹션5.파일시스템]-[MBR분석]-[약 0:27:14부분]
*FAT32 BR구조 관련 영상 -[섹션5.파일시스템]-[FAT32&NTFS BR분석]-[약 0:5:14 부분]
*NTFS BR구조 관련 영상 -[섹션5.파일시스템]-[FAT32&NTFS BR분석]-[약 0:29:22 부분]
궁금한점이 다 해결되셨을까요? 혹시 궁금한점이 더 있으시면 언제든 질문 주세요~ :)