강의

N
챌린지

멘토링

N
클립

커뮤니티

Inflearn Community Q&A

infinf's profile image
infinf

asked

Digital Forensic Specialist Level 2 Practical Exam Preparation Course for Beginners (EnCase/Autopsy)

[Common] BR Recovery of NTFS Partition

59강 실습 파일 문의

Resolved

Written on

·

17

0

59강 NTFS br 복구 실습 강의에 첨부된 실습파일을 다운로드 받아 HxD로 불러오기 하였는데 찾기 창에서 NTFS를 입력해도 강의 파일과 같이 여러 값이 나오지 않고 아무리 검색해봐도 br 백업본 파일이 나오지 않습니다. 혹시 제가 못찾는 것인지 ㅠㅠ... 파일이 맞는지 확인 부탁 드립니다~

Forensic

Answer 4

0

infinf님의 프로필 이미지
infinf
Questioner

이렇게 검색 했었습니다~

image.png

 

nstyxn님의 프로필 이미지
nstyxn
Instructor

아, 검색시에 여러개의 검색결과를 한번에 보여주는 기능이 없다는게 가장 문제이신거죠?

올려주신 스샷을 봤을때 HxD 구 버전으로 보입니다.

현재 최신버전은 2.5.0.0 버전인데 제 기억에 구 버전의 경우 '모두 찾기' 기능이 없었던것 같거든요.

지금 버전은 (아마 1.7.7.0 버전으로 생각되는데) 삭제하시고, 2.5.0.0 버전을 다운로드 받아서 사용하시는 것을 권해드립니다.

https://mh-nexus.de/en/downloads.php?product=HxD20

  • 위 url 접속 후 한국어 버전을 받아주세요~

 

최신버전으로 검색하시면 [모두 검색] 이라는 버튼을 볼 수 있고, 그렇게 검색한 결과는
HxD 하단에 보여줍니다.

이미지 1.jpg.webp이미지 2.jpg.webp

 

이 검색결과에 나온 섹터들을 확인하셔서 강의 영상에서 말씀드린 조건들에 부합하는
섹터를 찾으시고, 백업 BR로 의심되는 섹터의 내용을 복사해서 0번섹터에 덮어쓴 후 ftk imager로 확인을 하시는 과정을 반복해주세요.

이 실습 파일의 경우 하나의 저장매체에 NTFS 파티션이 여러개 있는경우에 백업 BR을 찾는 방법을 연습하기 위한 파일로 백업 BR처럼 보이는 섹터가 여러개 존재합니다.

그러다보니 하나의 파티션의 처음 섹터에는 BR / 파티션의 마지막 섹터에는 BR 백업 이 반복적으로 있는 순서를 잘 생각하시면서 보시면 이 이미지 파일에 몇개의 NTFS 파티션이 있는지 추정이 가능하게 됩니다. (물론 이 연습파일은 제가 일부러 더 복잡하게 해놓은거라 눈에 보이는 것 만큼 파티션이 여러개이진 않습니다)

제가 이 파일의 백업 BR의 위치를 바로 말씀을 드릴수는 있는데, 한 번 찾아보시고 그래도 못찾으신경우 말씀해주시면 알려드릴게요~ 한 번 찾으시면 그 다음부터는 쉽게 찾을수 있어서 직접 해보시는게 중요합니다!

infinf님의 프로필 이미지
infinf
Questioner

오 말씀해주신대로 했더니 해결되었습니다 ㅎㅎ 감사합니다 ^^

0

infinf님의 프로필 이미지
infinf
Questioner

네~ 첨부 그림과 같이 파일이 열리는데요.

 

찾기란에 NTFS 입력을 해도

 

eR.NTFS가 포함되어 있는 섹터는 검색에 나오지 않아서요~

 

저는 검색결과가 이렇게만 뜨거든요~~

image.png

 

뭔가 br 백업본 스러운(?) 파일은 검색결과가 도출이 안되는데 제가 못찾는걸까요 ㅠ.ㅠ?

nstyxn님의 프로필 이미지
nstyxn
Instructor

검색창에 검색어 입력한 그 상태의 스샷 한번 올려주시겠어요?

0

nstyxn님의 프로필 이미지
nstyxn
Instructor

안녕하세요 인프롱님!
해당 영상의 첨부파일을 다운로드 받아서 확인해봤는데 정상적으로 열리는 점을 확인했습니다

이미지 1.jpg.webp

 

이렇게 나와야 정상인데, 파일을 hxd로 열었을때 이와 동일하게 나오시는지 궁금합니다.

 

그리고 만약 위의 스샷과 동일하게 열린다면, 검색시에 어떤 순서로 검색을 하셨는지 말씀해주실수 있을까요?

그 말씀을 들어야 제가 도움을 드릴수 있을것 같습니다~

답변 부탁드릴게요~

 

0

communityai8509님의 프로필 이미지
communityai8509

안녕하세요, 인프런 AI 인턴입니다. 인프롱님, 질문 주셔서 감사합니다.

디지털포렌식 실습 중 NTFS BR(부트 레코드) 복구 과정에서 어려움을 겪고 계시네요. 말씀하신 59강의 파일이 제대로 작동하지 않는다면 다음의 세 가지 사항을 확인해보실 수 있습니다.

일반적인 NTFS BR 복구 과정

  1. 파일 다운로드 및 불러오기:

    • 첨부된 실습 파일을 올바르게 다운로드 받으셨는지, 파일 손상 여부를 확인해보세요. FTP나 브라우저를 통해 정상적으로 다운로드되지 않을 경우 파일이 손상될 수 있습니다.

  2. HxD에서 설정 확인:

    • HxD의 콘텐츠 검색 기능에서 정확한 검색 문자열로 “ntfs”를 입력했는지 확인하세요. 대소문자를 구분하는 옵션이 설정되어 있을 수 있으므로, 해당 설정을 비활성화하거나, 다른 문자열을 시도해보는 것도 도움이 됩니다.

  3. BR 백업본 검사:

    • 강의에서 설명하는 특정 위치(보통은 0번 섹터 이후 몇 개의 섹터)로 이동하여 BR 백업 정보를 확인합니다. 강의 예제와 다른 위치에 있을 수 있으니 처음부터 몇 개의 섹터를 건너가며 수동 확인해볼 수도 있습니다.

혹시 여전히 문제가 해결되지 않거나, 파일 자체에 문제가 있는지 의심된다면 강의의 수업 자료 업데이트나 비슷한 문제가 있었는지를 확인하기 위해 강사님께서 제공하신 커뮤니티 링크나 Q&A 게시판을 참고하시는 것이 좋습니다. 또한, 다운로드 받은 파일의 해시값을 강의에서 제공된 것과 비교해 파일의 무결성을 검사할 수 있습니다.

비슷한 문제를 가진 학습자들의 토론이나 해결책을 확인하려면 다음 URL을 참고해 보세요:

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

infinf's profile image
infinf

asked

Ask a question