[Forensic] FAT32, NTFS 파일 복구

파일복구.zip

13.10MB

 

문제의 파일을 실행해 보았다

문제의 파일

그러나 두 파일 모두 실행 실패

 

원인을 알기 위해 hxd로 까보았다

까보았더니 파일정보가 저장되어있는 곳인 0섹터에 BR구조가 안보인다

위의 사진은 FTK imager 로 확인한 결과

조금 내려가 보니

6섹터에 BR구조 확인

 

0섹터의 공백에 6섹터의 BR정보를 붙여 넣는다

 

붙여 놓고 저장 후 FTK imager로 확인

정상 복구 되었다

 

이번엔 NFTS 파일을 복구해 보자

똑같이 0섹터에 BR구조가 안 보인다

 

위의 사진은 FTK imager로 확인결과

 

NTFS 파일 시스템 특성상 맨 마지막에 복구 부트 레코드 위치해서

파일 시스템에 복구와 관련된 정보를 저장한다

확인해 보니 BR구조 확인

0섹터로 복붙 하고 저장해 준다

FTK imager로 확인결과

복구된 것을 확인