이미지 ence.E01
상태 확인후 상태에 이상이 있으면 정상화
2개의 파티션 테이블 비정상 확인 > 복구작업
0) 복구진행
파티션1
시작위치 : 63 > 00 00 00 3F > 3F 00 00 00
마지막위치 : 4306175 > 00 41 B4 FF > FF B4 41 00
사이즈 : 4306175 - 63 + 1 = 4,306,113 (00 41 B4 C1 > C1 B4 41 00)
파티션2
시작위치: 4306239 > 00 41 B5 3F > 3F B5 41 00
마지막위치: 4999679
사이즈: 4999679 - 4306239 + 1 = 693,441 (00 0A 94 C1 > C1 94 0A 00)
1. findx.gif를 찾아라
분석방법
확장자 분석 : gif 검색 (결과 없음)
키워드 분석 : findx.gif.lnk 찾음 > (바로가기 링크, 원본 찾을 수 없음)
파일 시그니처 분석 : gif 시그니처
FF D8 FF E0 : JPG 헤더
FF D9 : JPG 푸터
***카빙 이해하기
[encase imager]
add local device
체크 다 빼기
usb 선택
tools > wipe drive > 00 (Yes)
usb 포맷 후 사진 넣기
사진위치 확인 : 44096 물리섹터
FF D8 FF E0 : JPG 헤더 확인
재포맷
파일 탐색기 내 jpg 사진 사라짐
go sector 44096 > 남아있음 !!
export
=> 시그니처를 확인하고 원본으로 복구해줌
(포맷해서 보이지 않아도 찾아낼 수 있다!!)
툴 이용하기
osforensic 삭제 파일 검색 & 데이터 카빙
2. newmar.jpg를 찾아라
확장자 분석 : newmark1.jpg, newmark8.jpg 찾아냄 (관련 없음)
키워드 분석 : newmar라는 단어를 포함하는 내용을 가진 pretty lady.txt 찾아냄 (암호 파일 합리적 의심)
파일 시그니처 분석 : 확장자 불일치 찾기 (Autoexe.bat) > zip 파일
은닉 파악 : jpg를 암호를 건 zip파일 내에 저장해서 숨김
truecrypt 흔적 찾기 : tc파일 검색 > bats.tc 찾아냄
사전공격
=> Julie Newmar
python
zipfile (x) >> 한단락만 암호로 사용
pyzipper (o) >> 단어 여러개도 암호로 사용 가능