[Forensic] FAT32, NTFS 파일 복구
문제의 파일을 실행해 보았다 그러나 두 파일 모두 실행 실패 원인을 알기 위해 hxd로 까보았다 까보았더니 파일정보가 저장되어있는 곳인 0섹터에 BR구조가 안보인다 위의 사진은 FTK imager 로 확인한 결과 조금 내려가 보니 6섹터에 BR구조 확인 0섹터의 공백에 6섹터의 BR정보를 붙여 넣는다 붙여 놓고 저장 후 FTK imager로 확인 정상 복구 되었다 이번엔 NFTS 파일을 복구해 보자 똑같이 0섹터에 BR구조가 안 보인다 위의 사진은 FTK imager로 확인결과 NTFS 파일 시스템 특성상 맨 마지막에 복구 부트 레코드 위치해서 파일 시스템에 복구와 관련된 정보를 저장한다 확인해 보니 BR구조 확인 0섹터로 복붙 하고 저장해 준다 FTK imager로 확인결과 복구된 것을 확인
2024.01.20