삼바 공유폴더 생성
\\192.168.0.94
master/123456

1) 서과장 2번째 파티션 복구하기
(vbr문제; 각 파티션의 첫번째 섹터 문제)
파티션2 손상된 것 확인> 복구
(partition2 41945715 위치에 
62910539 백업 내용을 복사 붙여넣기)

2) 파티션이 모두 00으로 지워졌을 경우 복구하는 법 !!
ftk imager > 첫번째 파티션 번호 확인 (물리섹터번호)

df
(mbr문제; 전체 중 맨 첫번째 섹터 문제)
00 00 00 00 00 00 00 00 / 00 00 00 00 / 00 00 00 00

섹터시작
00 00 00 00 : 7168128(2번째 파티션 phy sec 확인) (00 6D 60 80) 
>> 80 60 6D 00

섹터사이즈
00 00 00 00 : x 00 06 28 00 / 00 28 06 00
7168128 - 7571583 = 7571583-7168128 + 1 = 403456 (00 06 28 00)
1 - 10 : 10	10-1+1 = 10
>> 00 28 06 00 

서과장의 복구된 파티션에 왜 tc파일이 존재하는가?
tc파일의 용도는 무엇인가?
truecrypt 파일은 다운로드 되었는가?
설치했는가?
언제 만들어졌는가?
누가 만들었는가?
레지스트리, indexDAT, NSUSER.DAT
----------------------------------------------------------------

recycler(휴지통) > s-1-5-21-117609710-1177238915-725345543-1003
SAM파일 > 1003번 유저 > 지워진 것 확인
TXT 버린 기록 확인
***Dc1.txt 작성자 = 서과장

[autopsy]

숨김파일
위장
시그니처

새 케이스 만들기
20250218001
정유빈
서과장유출

run ingest modules
> extension mismatch detector
> check all file type

의심되는 내용
1. 바탕화면 0001.png
2. 복구한 하드디스크 : .tc   > 암호랑 키가 있어야 열린다
3. 휴지통 >Dc1.txt 

***불일치 검색 > 특별히 눈에 띄는 파일 없음 (조작, 위조 흔적 찾기 힘듬)

[osforensic]
유저 액티비티

휴지통 스캔> .txt 버린 사람 서과장 확인
prefetch 스캔> 70개의 흔적

openstego 사용시 java 필요
***서과장은 openstego를 사용할 줄 아는 것으로 보임