손상된 디스크를 복구해보자

0섹터의 447 부터 1파티션 시작
16바이트씩 총4파티션 가능 
마지막 2바이트는 시그니처이다

각 파티션 위치를 알려주는 MBR이 손상된것을 확인
실제 데이터 위치를 확인하고 MBR에 위치값을 헥사로 환산하여 기록

NTFS 07
FAT 0B

ence


BPARKER
파티션2 FAT32
시작 3693375
끝 4749695

df2
FAT32
7168128 : 00 6D 60 80 -> 80 60 6D 00
크기계산
7571583 - 7168128 +1
(마지막 위치) - (시작위치) + 1

서과장의 복구된 파티션에 왜 tc파일이 존재하는가?
tc파일의 용도는 무엇인가?
truecrypt 파일은 다운로드 되었는가?
설치했는가?

자바 > 오픈스테고 > 트루크립토 순서로 설치 하였음

언제 만들어졌는가?
누가 만들었는가

휴지통 : RECYCLER 에서 Dc1.txt 발견

확장자 불일치 찾기
autopsy
에서 이미지 불러오고

스킵 뺴고 모든파일 체크해서 확장자 디텍터 실행

정리
바탕화면 0001.png
복구한 하드디스크 : .tc > 암호랑 키가 있어야 열린다고 함
휴지통 > Dc1.txt
불일치 검색 : 특별히 눈에 띄는게 없음 > 조작 또는 사람이 만들었다는 흔적을 찾기 힘들다~~

OSForensics 에서 유저 액티비티 사용
휴지통이 Key.txt를 버린 기록확인
Prefetch에서 사용한 프로그램들 확인