파일 삭제 부분은 Encase의 $MFT 분석만으로는 알다시피 한계가 있어
폴더 삭제 말고는 정확한 삭제 날짜 확인이 불가능하다는거
그래서 $LOG, $USN 정보를 확인해야 하는데
이게 완성형 포렌식 툴에서는 X-Way가 지원하고
그렇지 않은 경우 외부 분석 프로그램을 구해서 써야하는데 로그 트랙커라고 그거 쓰면 잘 됨.
2018년 6월 27일 수요일
NTFS log 분석
2017년 6월 8일 목요일
분석
테스트 장비
24core 3.2Ghz,64GB 메모리
Case 보관 및 원본 저장 스토리지의 성능 중요 (분석 시, SATA기준 읽기/쓰기가 초당 15Mbyte 발생)
FTK 6.1
1. 설치 후, 라이센스 메니지먼트 프로그램을 통해서 동글 라이센스를 최신상태로 갱신해야함. (device refresh)
2. DB 폴더를 Case 및에 넣어서 case 관리가 가능해졌으나 폴더이름을 영어로만 사용해야 Case가 생성됨.
3. 가상화 파일은 VDI, VMDK, VHD만 가능
프로세싱 시간 : 50기가 VHD 파일 -> 4 시간
CPU 및 메모리 전체 고르게 사용함. (CPU 전체 평균 35%, 메모리 10G)
오후 2:38 ~ 7:16분 완료 (총 4시간 38분 소요) : Forensic 표준 프로세스 적용
도구에 이미지 무결성 확인 : 5분정도 소요 -> 의미는 볼륨 Hash값 확인
internet shortcut : 바로가기
live search : bit 단위 검색 (오래걸림)
index search : dtsearch라고도 하며, 파일 내부 검색
파일수 : 130만5천3백개
카빙된 파일 : 0개
삭제된 파일 : 826,609개 (MFT에서 복구)
별도 카빙 : 12:04 ~ 13:38 (42분수행) -> 169,701개 추가됨
가상PC 만들기(Windows Virtual PC)
https://www.microsoft.com/ko-kr/download/details.aspx?id=3702
가상 컴퓨터 만들기 -> 윈도우 CD 삽입 -> 부팅 -> 윈도우 설치
Encase 8.1
프로그램 설치 -> 실행 -> 동글 등록
https://www.guidancesoftware.com/support/product-registration
등록 후 메일 받으면 하단 링크에서 Cert 파일을 encase 설치된 경로에 복사
(C:\Program Files\EnCase8\Certs) 확장자가 cert임.
50G VHD파일
Process Options (기본카빙 포함) -> 오전 11시02~53분 완료 (51분 소요)
recovered folders 파일 : 30,064개
Lost Files : 3,094개
전체 삭제파일 : 200,117개 (컨디션 is del)
CPU 평균 49% 사용, 메모리 32.5G 사용
카빙 2가지 조사 : 17:25~26:11분 (9시간 가량 소요)
가상화 파일 조사
Xenconvert 2.3.1 설치 및 실행
XVA를 OVF파일로 변환하면, OVF와 VHD 파일이 2개 생성됨.
VHD 파일을 포렌식 툴로 조사하면 됨
삭제 파일 의미
1. del : 복구 100%됨
2. Overwrite : 복구 불가한 삭제된 파일. MFT에 정보가 있는데 실제 비할당 영역에 가보니 데이터가 없는 경우나
역으로 비할당 영역에서 Overwrite되어 Carving으로 일부만 복구해진 경우
3. carving은 메타데이터가 덮어써졌을때 복구하는 방법으로 복구가 되어도 파일명은 복구되지 않는다.
파티션 Size 구하는법
- MFT에서 뒤에 64byte가 파티션 정보 -> decode로 보면 처음 sector 정보와 전체 Size Sector 정보가 나옴.
마지막-처음위치 정보 -1이 전체 Size이고 Sector니까 *512로 Byte로 바꾸고 1024로 나눠서 계산하면됨.
볼륨시리얼인란? 링크파일에서의 의미
파티션에 대한 시리얼 번호를 나타낸다. 해당 시리얼 번호는 링크파일에 정보가 담겨있는데
이를 emdmgmt registry 정보를 통해서 확인할 수 있다. 16진수로 되어있는데 해당 10진수로 변환하여 그 값은 EMDmgmt에서 찾아보면
해당 USB 등의 시리얼 번호를 확인 가능하다.
파티션 매직하면 북마크에 정보가 나오는데 이때 bookmark sector의 정보가 파티션 섹터 위치를 나타냄
add partition에 위치 정보 넣고 total sectors in partition 부분에는 그다음 bookmark sector에서 뺀 값을 씀.
I have worked about security for 10 years and I have licenses related in forensic, network, DB and so on. (EnCE, FTK, OCP, CCNA)
I am working in doosan company and I am in charge of security manager and I have lots of experience about digital forensic.
I am studying through the internet site (SANS, University...) and book related in security.
and then I summary the information to note.
I will bring my note to test center.
인텍스 할때 (Process-> Index)
2번째 : 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (해쉬 라이브러리에 Known으로 되어있는거)
3번째: 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (의심, Known등 전체 다 skip)
논리적으로 지워지지 않은 파일에 대해서 (오버라이트는 무시) 우선 검색한다.
라이브러리 다운로드. -> 실행파일 클릭하면 라이브러리를 알아서 설치함. 라이브러리 연동은 케이스 옵션 탭에
필터창에 find item my hash catagory.
contain : 단어 포함
match : 정확한거 여러개
find : contain 여러개
PC에 USB에 물려 파일 열어보면 링크파일만 남음. 저장은 메모리에만 남음.Swap이 되면 page 파일에 남을 수 있음.
페이지 파일 키워드 검색한다.
프로세싱할때 키워드 검색이 인덱스 검색이 가능하다. 옵션에 컴파운드 파일이 있어서 raw 서치 + index 서치가 같이됨.
할때 같이해라. 그냥 셀랙트하는거랑 프로세싱해서 하는거랑 차이가 있다.
포렌식 - 해당 인원의 업무를 파악해라. 외부에 가게되면 어떠한 정보가 유용하게 사용될 것인가? 컨설팅이 주 업무인 경우, 회사에서 만든 전략 보고서가 중요하지 않을 수 있다.
그들이 필요한건 잘 구조화 되어있는 템플릿 보고서인데 이는 이미 개인 PC에 보관하고 이를 활용하여 회사 자료를 만드는 경우가 대부분이라 보통의 경우 회사 자료가 크게 쓸모가 없다.
그런데 인사 프로세스, 프로젝트, 교육컨텐츠 개발폼등은 오랜 시간 다듬어온 절차와 보고서 문서이므로 외부에서 활용될 가치가 높다. 외부에서 업무상 참고할 자료 측면에서 무엇을 가지고 나갈지에
대해서 고민을 하고 조사를 하는 것이 중요하다.
24core 3.2Ghz,64GB 메모리
Case 보관 및 원본 저장 스토리지의 성능 중요 (분석 시, SATA기준 읽기/쓰기가 초당 15Mbyte 발생)
FTK 6.1
1. 설치 후, 라이센스 메니지먼트 프로그램을 통해서 동글 라이센스를 최신상태로 갱신해야함. (device refresh)
2. DB 폴더를 Case 및에 넣어서 case 관리가 가능해졌으나 폴더이름을 영어로만 사용해야 Case가 생성됨.
3. 가상화 파일은 VDI, VMDK, VHD만 가능
프로세싱 시간 : 50기가 VHD 파일 -> 4 시간
CPU 및 메모리 전체 고르게 사용함. (CPU 전체 평균 35%, 메모리 10G)
오후 2:38 ~ 7:16분 완료 (총 4시간 38분 소요) : Forensic 표준 프로세스 적용
도구에 이미지 무결성 확인 : 5분정도 소요 -> 의미는 볼륨 Hash값 확인
internet shortcut : 바로가기
live search : bit 단위 검색 (오래걸림)
index search : dtsearch라고도 하며, 파일 내부 검색
파일수 : 130만5천3백개
카빙된 파일 : 0개
삭제된 파일 : 826,609개 (MFT에서 복구)
별도 카빙 : 12:04 ~ 13:38 (42분수행) -> 169,701개 추가됨
가상PC 만들기(Windows Virtual PC)
https://www.microsoft.com/ko-kr/download/details.aspx?id=3702
가상 컴퓨터 만들기 -> 윈도우 CD 삽입 -> 부팅 -> 윈도우 설치
Encase 8.1
프로그램 설치 -> 실행 -> 동글 등록
https://www.guidancesoftware.com/support/product-registration
등록 후 메일 받으면 하단 링크에서 Cert 파일을 encase 설치된 경로에 복사
(C:\Program Files\EnCase8\Certs) 확장자가 cert임.
50G VHD파일
Process Options (기본카빙 포함) -> 오전 11시02~53분 완료 (51분 소요)
recovered folders 파일 : 30,064개
Lost Files : 3,094개
전체 삭제파일 : 200,117개 (컨디션 is del)
CPU 평균 49% 사용, 메모리 32.5G 사용
카빙 2가지 조사 : 17:25~26:11분 (9시간 가량 소요)
가상화 파일 조사
Xenconvert 2.3.1 설치 및 실행
XVA를 OVF파일로 변환하면, OVF와 VHD 파일이 2개 생성됨.
VHD 파일을 포렌식 툴로 조사하면 됨
삭제 파일 의미
1. del : 복구 100%됨
2. Overwrite : 복구 불가한 삭제된 파일. MFT에 정보가 있는데 실제 비할당 영역에 가보니 데이터가 없는 경우나
역으로 비할당 영역에서 Overwrite되어 Carving으로 일부만 복구해진 경우
3. carving은 메타데이터가 덮어써졌을때 복구하는 방법으로 복구가 되어도 파일명은 복구되지 않는다.
파티션 Size 구하는법
- MFT에서 뒤에 64byte가 파티션 정보 -> decode로 보면 처음 sector 정보와 전체 Size Sector 정보가 나옴.
마지막-처음위치 정보 -1이 전체 Size이고 Sector니까 *512로 Byte로 바꾸고 1024로 나눠서 계산하면됨.
볼륨시리얼인란? 링크파일에서의 의미
파티션에 대한 시리얼 번호를 나타낸다. 해당 시리얼 번호는 링크파일에 정보가 담겨있는데
이를 emdmgmt registry 정보를 통해서 확인할 수 있다. 16진수로 되어있는데 해당 10진수로 변환하여 그 값은 EMDmgmt에서 찾아보면
해당 USB 등의 시리얼 번호를 확인 가능하다.
파티션 매직하면 북마크에 정보가 나오는데 이때 bookmark sector의 정보가 파티션 섹터 위치를 나타냄
add partition에 위치 정보 넣고 total sectors in partition 부분에는 그다음 bookmark sector에서 뺀 값을 씀.
I have worked about security for 10 years and I have licenses related in forensic, network, DB and so on. (EnCE, FTK, OCP, CCNA)
I am working in doosan company and I am in charge of security manager and I have lots of experience about digital forensic.
I am studying through the internet site (SANS, University...) and book related in security.
and then I summary the information to note.
I will bring my note to test center.
인텍스 할때 (Process-> Index)
2번째 : 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (해쉬 라이브러리에 Known으로 되어있는거)
3번째: 윈도우, 오피스 시스템등 불필요한 프로그램들에 대해서 스킵한다. (의심, Known등 전체 다 skip)
논리적으로 지워지지 않은 파일에 대해서 (오버라이트는 무시) 우선 검색한다.
라이브러리 다운로드. -> 실행파일 클릭하면 라이브러리를 알아서 설치함. 라이브러리 연동은 케이스 옵션 탭에
필터창에 find item my hash catagory.
contain : 단어 포함
match : 정확한거 여러개
find : contain 여러개
PC에 USB에 물려 파일 열어보면 링크파일만 남음. 저장은 메모리에만 남음.Swap이 되면 page 파일에 남을 수 있음.
페이지 파일 키워드 검색한다.
프로세싱할때 키워드 검색이 인덱스 검색이 가능하다. 옵션에 컴파운드 파일이 있어서 raw 서치 + index 서치가 같이됨.
할때 같이해라. 그냥 셀랙트하는거랑 프로세싱해서 하는거랑 차이가 있다.
포렌식 - 해당 인원의 업무를 파악해라. 외부에 가게되면 어떠한 정보가 유용하게 사용될 것인가? 컨설팅이 주 업무인 경우, 회사에서 만든 전략 보고서가 중요하지 않을 수 있다.
그들이 필요한건 잘 구조화 되어있는 템플릿 보고서인데 이는 이미 개인 PC에 보관하고 이를 활용하여 회사 자료를 만드는 경우가 대부분이라 보통의 경우 회사 자료가 크게 쓸모가 없다.
그런데 인사 프로세스, 프로젝트, 교육컨텐츠 개발폼등은 오랜 시간 다듬어온 절차와 보고서 문서이므로 외부에서 활용될 가치가 높다. 외부에서 업무상 참고할 자료 측면에서 무엇을 가지고 나갈지에
대해서 고민을 하고 조사를 하는 것이 중요하다.
2017년 3월 1일 수요일
[업무력] 파워포인트 템플릿 활용
최근 공유라는 개념이 일반화 되가고 있다.
공유의 가치가 중요시되고 있는데 과거만 해도 내만이 가지고 있는 자료
내꺼가 중시되었다.
남한테 공개안하고 나만이 가지고 사용하는게 뭔가 특별하고 나의 경쟁력이라 믿었는데
지금은 많이 다르다. 내가 알고 있는 것을 함께 나누고 더하면서 발전하는 사회이다.
회사에서 일하다 보면 파워포인트 템플릿이 상당히 업무에 중요하다.
생각을 도식화 하고 전달력있게 표현하는 것이 기획 업무에서 큰 축을 차지하기 때문인데
최근에는 이런 템플릿을 제공하는 Site들이 많기 때문에 이를 활용하면 시간도 줄이고
보고서의 품질을 크게 높일 수 있다.
아래 업무하며 활용가치가 높았던 대표 Site를 공유하겠다.
1. SlideShare (http://slideshare.net)
전 세계의 PPT 템플릿을 살펴 볼 수 있는 Site이다. 그리고 좋은 내용의 메세지를 담은 PPT도 많다.
2. 마이크로소프트 템플릿 (http://templates.office.com/)
MS에서 직접 운영하는 Site이다. 아직 부족한 부분이 있지만 메이저급에서 운영하는 Site이기 때문에 발전 가능성이 크고 자료의 질과 양 또한 급성장하는 Site이다.
또한 다양한 분양의 양식이 잘 정리 되어있다. 단순히 일반적인 기획 PPT가 아닌 이력서, 마일스톤 등 업무 성격별로 자료들이 정리가 잘 되어 있다.
3. 네이버 (http://hangeul.naver.com/document)
2~3년 전부터 네이버에서도 템플릿을 제공하는데 아무래도 한국 유저들이 많기 때문에 상당히 우리가 필요로하는 양식들이 많다. 그리고 IT 강국 답게 이미지 퀄리티가 높다.
PPT 템플릿 외에도 한글, 워드, 엑셀 등을 제공하기 때문에 자세히 살펴보면 좋습니다.
4. Presentation Pro (http://www.presentationpro.com/) 이 사이트는 양질의 다이어 그램이 많다. 다만 대부분 퀄리티 높은 자료들이 돈을 내고 사야한다. 내용도 알차고 양식도 괜찮은 템플릿이 많기 때문에 활용하면 도움이 많이 될 것이다.
무료/유료가 있는데 무료도 상당 수준의 자료가 많이 올라와 있으니 활용해 보기 바란다.
5. Smile Templates (http://www.smiletemplates.com/) 10만개가 넘는 템플릿을 보유하고 있는 대표적인 사이트이다. 유료이기는 하나 3장까지는 무료이니 활용해보길 바란다.
공유의 가치가 중요시되고 있는데 과거만 해도 내만이 가지고 있는 자료
내꺼가 중시되었다.
남한테 공개안하고 나만이 가지고 사용하는게 뭔가 특별하고 나의 경쟁력이라 믿었는데
지금은 많이 다르다. 내가 알고 있는 것을 함께 나누고 더하면서 발전하는 사회이다.
회사에서 일하다 보면 파워포인트 템플릿이 상당히 업무에 중요하다.
생각을 도식화 하고 전달력있게 표현하는 것이 기획 업무에서 큰 축을 차지하기 때문인데
최근에는 이런 템플릿을 제공하는 Site들이 많기 때문에 이를 활용하면 시간도 줄이고
보고서의 품질을 크게 높일 수 있다.
아래 업무하며 활용가치가 높았던 대표 Site를 공유하겠다.
1. SlideShare (http://slideshare.net)
전 세계의 PPT 템플릿을 살펴 볼 수 있는 Site이다. 그리고 좋은 내용의 메세지를 담은 PPT도 많다.
2. 마이크로소프트 템플릿 (http://templates.office.com/)
MS에서 직접 운영하는 Site이다. 아직 부족한 부분이 있지만 메이저급에서 운영하는 Site이기 때문에 발전 가능성이 크고 자료의 질과 양 또한 급성장하는 Site이다.
또한 다양한 분양의 양식이 잘 정리 되어있다. 단순히 일반적인 기획 PPT가 아닌 이력서, 마일스톤 등 업무 성격별로 자료들이 정리가 잘 되어 있다.
3. 네이버 (http://hangeul.naver.com/document)
2~3년 전부터 네이버에서도 템플릿을 제공하는데 아무래도 한국 유저들이 많기 때문에 상당히 우리가 필요로하는 양식들이 많다. 그리고 IT 강국 답게 이미지 퀄리티가 높다.
PPT 템플릿 외에도 한글, 워드, 엑셀 등을 제공하기 때문에 자세히 살펴보면 좋습니다.
4. Presentation Pro (http://www.presentationpro.com/) 이 사이트는 양질의 다이어 그램이 많다. 다만 대부분 퀄리티 높은 자료들이 돈을 내고 사야한다. 내용도 알차고 양식도 괜찮은 템플릿이 많기 때문에 활용하면 도움이 많이 될 것이다.
무료/유료가 있는데 무료도 상당 수준의 자료가 많이 올라와 있으니 활용해 보기 바란다.
5. Smile Templates (http://www.smiletemplates.com/) 10만개가 넘는 템플릿을 보유하고 있는 대표적인 사이트이다. 유료이기는 하나 3장까지는 무료이니 활용해보길 바란다.
2017년 2월 28일 화요일
[포렌식] Encase8 사용 후기
최근 한달정도 Encase8을 테스트 해보고 있다.
일단 기존에 v7의 경우 속도, 버그 등의 이슈가 무척 많았다.
250G 정도의 HDD도 분석이 버거웠고 특히 카빙이나 인덱싱 등의 작업은 대부분 실패로 끝나기가 일 수 있다.
그리고 아무리 작업 환경의 분석 서버가 Spec이 좋아도 전체 자원을 효율적으로 사용하지 못하고 CPU나 Memory 부분을 확인해 보면 대부분 자원이 놀고 있었다.
이번 v8의 경우, 일단 50G 이미지를 활용해서 테스트하고 있지만 우선 기존에 비해서 가볍고 빠르다.
과거는 시도 조차 힘들었던 카빙 부분도 하루 이내에 분석이 되었다.
물론 카빙의 종류를 다양하게 했을때는 2~3일 시간이 걸렸으나 기본 2~3개 정도는 충분히 분석해 내는 모습이었다.
UI 부분도 대폭 개선이 되었다. 보다 직관적으로 변경이 되었으며 수시로 발생하는 응답없음 오류도 기존 보다 눈에 띄게 줄었다.
전체 기능에 대해서 단위 테스트 중인데 사용하면서 좀 더 후기를 업데이트 하도록 하겠다.
일단 기존에 v7의 경우 속도, 버그 등의 이슈가 무척 많았다.
250G 정도의 HDD도 분석이 버거웠고 특히 카빙이나 인덱싱 등의 작업은 대부분 실패로 끝나기가 일 수 있다.
그리고 아무리 작업 환경의 분석 서버가 Spec이 좋아도 전체 자원을 효율적으로 사용하지 못하고 CPU나 Memory 부분을 확인해 보면 대부분 자원이 놀고 있었다.
이번 v8의 경우, 일단 50G 이미지를 활용해서 테스트하고 있지만 우선 기존에 비해서 가볍고 빠르다.
과거는 시도 조차 힘들었던 카빙 부분도 하루 이내에 분석이 되었다.
물론 카빙의 종류를 다양하게 했을때는 2~3일 시간이 걸렸으나 기본 2~3개 정도는 충분히 분석해 내는 모습이었다.
UI 부분도 대폭 개선이 되었다. 보다 직관적으로 변경이 되었으며 수시로 발생하는 응답없음 오류도 기존 보다 눈에 띄게 줄었다.
전체 기능에 대해서 단위 테스트 중인데 사용하면서 좀 더 후기를 업데이트 하도록 하겠다.
2017년 2월 27일 월요일
2017년 2월 26일 일요일
[업무력] 일하는 동선을 줄이자
10여년 회사 생활을 하며 업무력에 대해서 고민을 많이 해왔다.
어떻게 업무력을 높일 수 있을까?
같은 시간에 남들보다 더 Output을 내기 위해서 나름의 노하우가 생겼는데
그 기본은 동선을 줄이는데 있다.
1. 작게는 책상에서의 내가 자주 사용하는 물건은 인근에 배치하는 것으로 부터
2. 자주 사용하는 문서폼을 템플릿화해서 재활용하는 부분
3. 메일을 자동 분류하여 검색을 빠르게하고 불필요한 메일을 필터하는 방법
4. 자주 사용하는 메일의 문구나 폼은 서식으로 저장하여 메일을 쓸때 서명으로 불러와서 재활용하는 방법
5. 업무 폴더를 나만의 방식으로 구조화하여 접근성을 높이는 것
6. 탐색기 폴더에 자주사용하는 폴더는 즐겨찾기 링크를 걸어서 사용하는 것
7. 자주 사용하는 업무 단축키를 숙련시켜 작업 속도를 높이는 법
8. 클라우드를 활용해서 자료 전달이나 수정 등을 용이하게 하는 법
9. 공동 작업은 클라우드 오피스 등을 활용해서 협업공간에서 공동작업 하는 법
10. 마우스나 키보드의 펑션키를 지정하여 자주 쓰는 뒤로가기, 앞으로 가기 등을 추가 동선업이 바로 사용하는 법
11. 에버노트, 원노트 등을 통해 자료 정리를 용이하게하고 스크랩 속도를 높이는 법
12. 부서간 작업하는 프로세스를 살펴보고 불필요한 행위를 제거하는 법
13. 파워포인트의 슬라이드 마스터를 정의하고 글머리 규칙들을 사전에 정형화하여 작업 속도를 높이는 법
14. Iconfinder 등의 웹을 이용해서 이미지 검색 시간을 단축시키는 법
15. 문서명의 명명규칙을 정의하여 가시성을 높이고 검생을 용이하게 하는 법
16. 무선 환경 구축을 통해 장소를 넓게 활용하여 업무를 수행하는 방법
17. SSD, NAS, Win10등의 최신 기술들을 적용해서 업무를 용이하게 하는 법
등등 업무하면서의 발생하는 작고 소소한 시간들이 누적되고 반복되면 상단히 많은 시간이 된다. 이런 많은 시간들을 남보다 적게쓰고 시간을 Save할 수 있다면 우리는 그 시간을 통해 다른 곳에 투자할 수 있다.
앞으로 업무력에 대한 글을 통해서 세부적으로 어떻게 업무를 효율적으로 할 것인지에 대해서 노하우를 공유하는 시간을 가지도록 하겠다.
[포렌식] 연결 불량인 외장하드 복구
결론 : CHKDSK /R 드라이브명 명령어를 통해서 논리/물리적 결함을 수정해주면 드라이브 인식이 정상화 될 것이다.
사용 하던 하드디스크가 접근이 불가한 경우
윈도우의 CHKDSK를 실행 하여 디스크를 복구 할 수 있다.
이 명령어는 이미 많은 분들이 알고 있을건데 이 명령어를 통해서 실제 인식 불가한 디스크를 복구할 수 있다는 걸
알고 있는 사람은 많지 않다.
CHKDSK 옵션 명력어를 통한 복구 방법을 오늘 살펴 보겠다.
디스크를 연결했을 때 탐색기에서 드라이브는 올라오나 raw 상태로써 인식이 안되는 경우가 더러 발생한다.
그리고 해당 디스크를 더블클릭하여 연결을 시도하면 포멧을 하라고 나온다.
항상 사용하던 외장하드가 갑자기 연결이 안된다. 분명 데이터는 들어있는데 포멧을 하라고만 나오고
정말 답답할 다름이다.
이때는 MFT 파일 시스템의 정보가 깨져서 발생할 가능성이 매우 높고 이를 CHKDSK로 복구해줄 있다.
우선 복구하기전에 디스크 복제를 시도한다. CHKDSK로 복구 시도했을때 대부분 살겠지만 만에 하나를 위해
현재 디스크로 동일하게 디스크 복제를 해주는데 Encase나 FTK를 사용해도 되고 또는 전용 복제 장비인 Solo4나 팔콘 장비를 써도 된다.
우선 디스크 복제를 했다고 가정하고 복구 방법을 서술하겠다.
위와 같이 인식 불량하드를 복제하고나서 다시 연결을 한다.
아무런 조치를 안했으니 디스크관리를 가보면 디스크 상태가 정상이 아닌 raw일 것이다.
이때 컴퓨터의 시작 -> 실행 -> CMD (관리자 모드)로 실행을 한다.
그리고 CHKDSK /F 해당 드라이브 (g:)
이렇게 명령어를 친다.
이처럼
CHKDSK /F G: 엔터
이렇게 해주면 체크디스크가 실행 됩니다.
아래와 같이 손상된 파일테이블을 찾아서 복구를 하는데 만약 복구가 안되는 경우
CHKDSK /R G: 명령어를 사용한다.
명령어의 차이는 논리적 오류를 자동으로 처리하는게 F
논리 및 물리적 결함까지 체크하여 복구하는 것이 R이다.
결국 잘 모르겠으면 무조건 R로 복구를 해준다.
옵션의 차이는 아래와 같다.
이렇게 해서 복구를 진행하면 30분정도 후에 복구가 되어져 있을 것이다.
그리고 포렌식 관점에서는 기존의 디스크복제한 HDD와 이번에 복구한 HDD를 포렌식 툴에 놓고
MFT의 값을 비교해봐라.
Sector값의 변화를 확인 할 수 있을 것이다.
피드 구독하기:
글 (Atom)