[디스크 복구] NTFS 파티션 복구

저번 시간에 이어 NTFS도 바로 복구를 해보겠습니다.

마찬가지로, 악용을 하시면 법적인 책임을 물 수도 있으니 공부할 때만 사용하십시오.

 

배우기에 앞서 선행되어야 하는 내용은 다음과 같습니다.

 

NTFS 구조 : https://lemonpoo22.tistory.com/202

MBR 구조 : https://lemonpoo22.tistory.com/23

 

실습할 내용은 다음과 같습니다.

BR영역이 손상된 파티션 복구
알아야 할 내용 : 파티션 정보, LBA 시작주소, 파티션 총 섹터 수

먼저, 실습파일을 FTK로 열어보겠습니다.

파티션 1개가 보이고, Unrecognized로 보이는 것으로 보아 손상된 파티션임을 알 수 있었습니다.

그래서 FTK를 닫고, Hxd 에디터로 디스크 정보를 한번 보겠습니다.

영역 표시를 한 부분이 파티션의 정보입니다.

파티션 정보를 살펴보면 파티션 정보가 07로 된 것으로 보아 NTFS로 포맷된 것을 확인할 수 있었고, LBA 시작 주소는 0x0000003F임을 확인할 수 있었습니다. 섹터로 변환하면 63섹터입니다.

BR 영역이 손상 되어 있습니다. 여기서 이제 BR 백업본을 찾아야 하는데, FAT32의 경우 6번째 이후 섹터에 BR이 존재했으나 NTFS는 파티션 정보의 제일 마지막 섹터에 저장됩니다. 그래서 파티션 정보에서 총 파티션의 섹터 수는 0x003C3FC0 = 3,948,480입니다.

하지만, 이는 파티션의 섹터 수이며 전체 하드디스크에 대한 섹터 수는 아닙니다. 그러므로 우리는 이 공식을 사용합니다.

NTFS 백업 본 위치 : 시작 주소(섹터) + 파티션의 총 섹터 수 - 1 섹터를 해주시면 됩니다.

그럼, 63 + 3,948,480 - 1 = 3,948,542섹터가 되겠네요

NTFS라고 적힌 시그니처 이름이 보입니다. 이 영역을 복사하여 63섹터에 있는 손상된 BR에 저장을 하고 FTK로 다시 열어보겠습니다.

파티션이 정상적으로 작동을 하는 것을 확인할 수 있었습니다.

 

간단하게 FAT32와 NTFS를 복구하는 방법을 알아보았습니다. 다음은 MBR 영역을 손상시키는 악성 코드에 감염된 테스트 환경을 가지고 분석을 진행하겠습니다.

 

-Reference-

Start Up 디스크 포렌식