[Forensic] FAT32, NTFS 파일 복구
2024. 1. 20. 22:46ㆍForensic
728x90
문제의 파일을 실행해 보았다
그러나 두 파일 모두 실행 실패
원인을 알기 위해 hxd로 까보았다
까보았더니 파일정보가 저장되어있는 곳인 0섹터에 BR구조가 안보인다
위의 사진은 FTK imager 로 확인한 결과
조금 내려가 보니
6섹터에 BR구조 확인
0섹터의 공백에 6섹터의 BR정보를 붙여 넣는다
붙여 놓고 저장 후 FTK imager로 확인
정상 복구 되었다
이번엔 NFTS 파일을 복구해 보자
똑같이 0섹터에 BR구조가 안 보인다
위의 사진은 FTK imager로 확인결과
NTFS 파일 시스템 특성상 맨 마지막에 복구 부트 레코드 위치해서
파일 시스템에 복구와 관련된 정보를 저장한다
확인해 보니 BR구조 확인
0섹터로 복붙 하고 저장해 준다
FTK imager로 확인결과
복구된 것을 확인
728x90