[3강] FTK Imager 사용법
몇 가지 기능을 추가적으로 알려주는 것 같음. 따라해보자면,,
- hash 값 추출 -> csv형식 열림(MD5, SHA1 추출)
- timestamp 확인 방법: Hex Value Interpreter로 시간을 확인할 수 있음
- 해당 파일 properties 확인: 구체적인 정보들 확인 가능
등등....
[4강] 하드디스크(HDD) 구조
- HDD구조: 플래터, 스핀들 모터, 액츄에이터암, 헤드, 커넥터
데이터 접근 방식
- CHS: 디스크 물리 구조에 기반한 형식
- LBA: 디스크 논리 구조에 기반한 형식
LBA 방식의 HDD구조: MBR + BR(시작 섹터) + C
- MBR: boot code + partition table + signature
- boot code: 부팅 시 필요 signature
- partition table: 64byte/16byte 4개
- 파티션 타입 예시: FAT32(MSDOS5.0), NTFS(eR.NTFS)
- FAT32: VBR 백업본은 파티션 시작위치 + 6을 더한 섹터에 저장
- NTFS: VBR 백업본은 (LBA 시작 주소 + 총 섹터 수) - 1 에 위치
- 파티션 타입 예시: FAT32(MSDOS5.0), NTFS(eR.NTFS)
[실습]
- FAT32
시작 위치 3F(빅엔디안으로 바꿔서 계산해야 함)
가보니까 Disk Fail Yam!
복붙해주기
- NTFS
시작 위치 + 총 섹터 수 - 1 로 주소 위치를 찾고
복붙해주기
Winhex: 검증용으로 사용 가능
ctrl + G로 섹터 위치 찾고, template manager 들어가면 정보들 다 확인 가능
오 volumn serial number, boot signature까지 바로 표시해주니까 hxd에서 찾기 힘들 떄 사용해도 좋겠다ㅎ
+ 휴지통 분석
$R: 실제 삭제된 파일 데이터
$I: $R에 대한 메타데이터가 삭제됨(삭제된 원본 겨올, 삭제 시간, 삭제된 파일 크기 등)
[5강] GPT 파티션 분석
- EFI에서 사용되는 디스크 형식
- LBA 방식 사용
- 파티션 생성 시 처음 부분과 마지막 부분에 여유 공간을 두어 MBR -> GPT 변환을 지원함
- 0번 섹터에 GPT 파티션 시작 위치가 저장됨
**내용이 너무 많아서 강의자료로 제공해주신 PPT를 참고하겠음
current LBA = first LBA address
사이에 백업 LBA 위치
last LBA = 8E C2 E7 ~~ 이부분
partition entries starting LBA: 02 00 00~~ // 각 파티션의 정보 기록됨
여기부터는 두번쨰 GPT 섹터 구조
- first LBA = 파티션 시작 주소
- last LBA = 파티션 끝 주소
두 개를 빼서 섹터 총 개수를 알 수 있음!
현재 주소: 세번째 줄, 8바이트 --> AF C2 E7 0E 00 00 00 00 --> 250,069,679
아 근데 이게 실습 자료가 헤더 밖에 없어서ㅎ
그냥 강의 실습으로 대체하겠음
'SWUFORCE > 윈도우 포렌식' 카테고리의 다른 글
| 디지털 포렌식 전문가 과정 - 섹션5(개요/문서 분석) (0) | 2026.05.05 |
|---|---|
| 디지털 포렌식 전문가 과정 - 섹션4(레지스트리/파일다운/암호 및 메일 분석) (1) | 2026.04.28 |
| 디지털 포렌식 전문가 과정 - 섹션4(개요) (0) | 2026.04.28 |
| 디지털 포렌식 전문가 2급 실기 - 7강 (0) | 2026.04.07 |
| 디지털 포렌식 전문가 2급 실기 - 6강 (0) | 2026.04.07 |