디지털포렌식 with CTF - [DISK Forensic] 11

복구 된 키 이미지 파일의 논리 파일 해시 값은 무엇입니까? (MD5)

 

사용도구 : FTK Imager, R-Studio, Hex Editor, HashCalc

 

• evidence.001 이미지 파일을 FTK Imager 마운트 후 분석
• evidence image를 추가 후 파티션 확인 결과 특이한 점은 없으나 비정상 또는 손상된 파티션이 존재하는 것으로 추정됨

 

• R-Studio (하드디스크 복구 프로그램) 다운 및 관리자 권한으로 실행하여, 로컬 컴퓨터 내에 존재하는 이미지를 가상으로 마운트 시켜 확인

 

• Empty Space4에 마우스 우클릭 후 'Scan'

 

 

• Scan을 완료하니 2개의 파일시스템이 확인됨
• Recognized0
• Recognized1

 

• FTK Imager에서 확인된 파티션과 비교해보면 Recognized1 이 의심스럽다. (FTK Imager에서는 15MB 용량으로 확인이 되는데, R-Studio에서는 50MB로 확인되기 때문)

 

 

• 의도적으로 삭제된 파티션이 있을거라는 추측으로 MBR분석 진행 (★파티션테이블 구조 숙지)
• evidence.001 파일을 HxD로 open
• MBR영역에서 3개의 파티션이 존재하는 것을 확인

 

• 해당 분석용 이미지는 MBR - VBR 이 포함된 구조
• "Invalid partition table Error loading operation system Missing operating system" 메세지를 보아 "MBR영역에서" 파티션 테이블이 손상되었음을 추측

 

• 파티션 분석

1. 첫번째 파티션

00 02 03 00 07 D4 11 03 80 00 00 00 00 F0 00 00

00               : 부팅 불가능

02 03 00     : CHS 주소지정방식의 시작위치 정보

07               : NTFS 파일시스템

D4 11 03     : CHS 주소지정방식의 끝나는 위치 정보

80 00 00 00 : LBA 주소지정방식에 대한 파티션 시작 주소 -> 00 00 00 80 -> 128 섹터

00 F0 00 00 : 해당 파티션 총 섹터 개수 정보 -> 00 00 F0 00 -> 61,440 섹터

 

1)첫번째 파티션의 VBR영역 분석

• 128섹터로 이동 및 VBR 확인, 분석

00 02 : 섹터 당 바이트 (Byte per sector) -> 02 00 -> 512 Bytes

08 : 클러스터 당 섹터 (Sector per Cluster) -> 08 -> 1클러스터 당 8섹터

00 00 : 예약된 영역 (Reserved Area)

---> 1 Cluster 의 크기 : 섹터 당 바이트 X 1클러스터 당 섹터 수 = 512 * 8 = 4096 Bytes

FF EF 00 00 00 00 00 00 : 파일시스템 전체 섹터 수 (Total Sector) -> EF FF -> 61,439 섹터

---> 파일시스템 전체 용량 : 전체 섹터 수 X 섹터 당 바이트 = 61,439 X 512 = 31,456,768‬ Bytes (30MB)

00 0A 00 00 00 00 00 00 : $MFT 클러스터 번호 -> 0A 00 -> 2,560번 클러스터

---> MFT 섹터 번호 : VBR시작위치 + 클러스터 번호 * 클러스터 당 섹터 수 = 128+2,560 * 8 = 20,608 섹터

 

 

2)첫번째 파티션이 끝나는 위치인 61,567 섹터에 VBR 백업본이 존재하는 것을 확인

 

2. 두번째 파티션

00 D4 12 03 01 1B 16 05 80 F0 00 00 00 50 00 00

00                : 부팅 불가능

D4 12 03        : 시작위치정보

01                : FAT12 파일시스템

1B 16 05        : 끝나는 위치정보

80 F0 00 00    : LBA 주소지정방식에 대한 파티션 시작 주소 -> 00 00 F0 80 -> 61,568 섹터

00 50 00 00    : 해당 파티션 총 섹터 개수 정보 -> 00 00 50 00 -> 20,480  섹터

 

61568

20480

 

82048 섹터

 

1)두번째 파티션의 VBR영역 분석

00 02 : 

08 : 

08 00 :

--->

00 00 00 00 :

80 00 29 7E : 

E0 7B 8E D9 : 

 

2)두번째 파티션의 백업파티션 확인 (파티션 시작위치 +6섹터 : 61574 섹터)

 

 

3)파티션 시작위치에서 총 섹터수를 더한 위치로 가보았다.

82,048 섹터

 

 

 

 

3. 세번째 파티션

00 04 3E 07 05 FE 3F 0F 80 B8 01 00 00 48 02 00

00                : 부팅 불가능

04 3E 07        : 시작 위치 정보

05                   : 확장 파티션

FE 3F 0F            : 끝나는 위치 정보

80 B8 01 00           : LBA 주소지정방식에 대한 파티션 시작 주소 -> 00 01 B8 80 -> 112,768 섹터

00 48 02 00            : 총 섹터 개수 정보 -> 00 02 48 00 -> 149,504 섹터?

 

1)세번째 파티션 시작위치(112,768섹터)에 데이터가 없는 것 확인 -> 해당 위치부터 NTFS VBR 시그니처인 'EB 52 90 4E 54 46 53'을 검색해보자.

 

해당 112,896 섹터에 NTFS VBR 정보가 있는 것을 확인

 

 

 

• 확장파티션에 대한 시작 파티션 주소의 데이터 없음
• 위 파티션이 4번째 파티션에 대한 내용임을 증명

 

-> 우선 VBR 내용을 토대로 MBR의 4번째 파티션을 완성시켜보자.

 

부팅정보 : 80

CHS 시작주소 : 00 00 00 (00으로 채워도 무방)

파티션타입 : 07 (NTFS)

CHS 마지막 주소 : 00 00 00

VBR 시작 주소 파티션 시작주소 (112,896 섹터 -> 16진수 변환 -> 00 01 B9 00 , 리틀엔디안 -> 00 B9 01 00 , 빅엔디안으로.)

파티션 총 섹터 수 : NTFS VBR의 Total Sector + 1 (VBR 백업본 섹터까지 포함되야 하므로 1을 더한다) , FF 8F 01 00 00 00 00 00 -> 00 00 00 00 00 01 8F FF -> 00 01 90 00(리틀엔디안) -> 00 90 01 00(빅엔디안)

 

 

80 00 00 00 07 00 00 00 00 B9 01 00 00 90 01 00

을 MBR 네번째 파티션에 덮어씌우고 저장

 

FTK Imager로 확인 결과 새로운 파티션이 생겼음을 확인

 

 

 

 

해당 파티션 내에 k3y2013.JPG 파일 확인

 

해당 파일을 추출하여 MD5값 확인