-
질문 & 답변
카테고리
-
세부 분야
보안
-
해결 여부
미해결
질문 드립니다.
21.02.28 12:03 작성 조회수 125
0
안녕하세요. 강사님
좋은 강의 항상 감사합니다.
카빙 강의 듣고 실습 후 헷갈리는 점이 있어서 질문 드립니다.
강릐를 들으면서 NTFS 파일을 추출하는 방법은 크게 아래 2가지 인 것 같습니다.
1) 이번 강의에서 설명해주신 PE Header와 Section의 크기 정보를 통해 파일을 추출한 방식
2) 'FAT32 and NTFS - 2(실습) 편' 강의에서 NTFS FILE RECORD의 OffsetFieldSize와 LengthFieldSize를 통해 파일을 추출하는 방식
위 1), 2)는 방법이 다를 뿐 같은 결과를 가져오는 것이 맞나요?? 혹시 맞다면 carver.py을 2)가 아닌 1)의 방식으로 구현한 이유가 따로 있을까요?
ps. 제가 아직 정확한게 이해한게 아니라서 질문이 앞뒤가 안맞을 수도 있습니다. 그렇다면 죄송합니다 ㅠㅜ
감사합니다.
답변을 작성해보세요.
0
dorumugs
지식공유자2021.03.02
1) 의 목적은 파일의 형태를 보면서 파일을 추출할 수 있는 것을 배우는 과정이라고 보시면 됩니다.
2) 의 목적은 파일이 아닌 파일시스템에서 파일을 추출할 수 있는 것을 배우는 과정이라고 보면 됩니다.
1)과 2)는 같은 결과를 가져오나 1)에서는 파일안에 정보에 따라 슬랙스페이스를 가져오지 않을 수 있습니다. 2)에서는 슬랙스페이스를 포함해서 가져올 수 있습니다. 1) 로 구현한 이유는 이미지를 Realonly로 마운트한 상태에서 디바이스 대상으로 필요한 PE 파일 및 기타 파일들과 매치하는 부분을 전부 긁어오려고 하는 것입니다.
이렇게 만든 이유는 삭제된 데이터 중에 일부 헤더와 일치하는 부분도 찾기 위함 입니다.
답변이 되었을가요?
답변 1