#20250218
디스크 복구 연습
파티션 이름 -> [Recovered] partition 1 / 2 해결
MBR에 문제가 존재한다. MBR의 파티션 정보가 있어야 할 부분이 0으로 채워져 있다.
그러므로 위치와 크기를 계산해서 직접 넣어주어야 한다.
[df2.E01]
Partition 2
FirstSector > 7168128 (partition 2 위치)
00 6D 60 80 -> 80 60 6D 00
size > 파티션의 마지막 위치 - first sector + 1 > 7571583 - 7168128 + 1 = 403,456
403456 = 00 06 28 00 -> 00 28 06 00
Disk Editer에서 MBR 수정
---
[ence.E01]
Partition 1
First sector : 63
00 00 00 3F -> 3F 00 00 00 으로 입력
Size : 4306175 - 63 + 1 = 4306113
00 41 B4 C1 -> C1 B4 41 00 으로 입력
Partition 2
First sector : 4306239
00 41 B5 3F -> 3F B5 41 00 으로 입력
Size : 4999679 - 4306239 + 1 = 693441
00 0A 94 C1 -> C1 94 0A 00 으로 입력
Disk Editer에서 MBR 수정
---
[BPARKER.E01]
Partition 2
First sector : 3693375
00 38 5B 3F -> 3F 5B 38 00 으로 입력
Size : 4749695 - 3693375 + 1 = 1056321
00 10 1E 41 -> 41 1E 10 00 으로 입력
Disk Editer에서 MBR 수정
복구한 서과장 하드디스크 파티션에 Schematic.tc 파일이 존재한다.
tc (TrueCrypt) 파일은 암호화된 볼륨 파일이다.
TrueCtypt 프로그램을 설치하여 열어보니, 암호와 키가 있어야 오픈이 가능하다.
키 탐색
partition 1 > NONAME > root > RECYCLER (휴지통)
Dc1.txt 파일이 존재하는데, 역시나 키는 적혀있지 않다.
---
autopsy 설치
케이스 만들고 서과장 복원 파일 이미지 불러오기
확장자 불일치 확인하기 : 일반적인 파일 확장자가 아닌 파일들 탐지
Host와 volume 사이 20250217001.001 위에서 우클릭 > Run ingest modules
체크 해제 후 Extension Mismatsh Detector > Skip 체크 해제, Check all file types
---
vol2 > Documents and Settings > 서과장 > 바탕화면에 0001.png 파일 존재
osforensics > 유저 액티비티
휴지통만 체크 > 빠른 스캔 > partition 0
휴지통에 key.txt 파일이 버려진 것을 확인할 수 있다.
Prefetch 체크 > 빠른 스캔 > partition 0
70개의 파일이 추출된다.
- Javaw.exe
- Setup-openstego-0.6.1.exe
- Truecrypt_setup_7.1A.exe
- Truecrypt.exe
- Truectypt format.exe
- lzma_exe
- Javaserup8u51[1].exe
파일들이 있다.
파티션 이름 -> [Recovered] partition 1 / 2 해결
MBR에 문제가 존재한다. MBR의 파티션 정보가 있어야 할 부분이 0으로 채워져 있다.
그러므로 위치와 크기를 계산해서 직접 넣어주어야 한다.
[df2.E01]
Partition 2
FirstSector > 7168128 (partition 2 위치)
00 6D 60 80 -> 80 60 6D 00
size > 파티션의 마지막 위치 - first sector + 1 > 7571583 - 7168128 + 1 = 403,456
403456 = 00 06 28 00 -> 00 28 06 00
Disk Editer에서 MBR 수정
---
[ence.E01]
Partition 1
First sector : 63
00 00 00 3F -> 3F 00 00 00 으로 입력
Size : 4306175 - 63 + 1 = 4306113
00 41 B4 C1 -> C1 B4 41 00 으로 입력
Partition 2
First sector : 4306239
00 41 B5 3F -> 3F B5 41 00 으로 입력
Size : 4999679 - 4306239 + 1 = 693441
00 0A 94 C1 -> C1 94 0A 00 으로 입력
Disk Editer에서 MBR 수정
---
[BPARKER.E01]
Partition 2
First sector : 3693375
00 38 5B 3F -> 3F 5B 38 00 으로 입력
Size : 4749695 - 3693375 + 1 = 1056321
00 10 1E 41 -> 41 1E 10 00 으로 입력
Disk Editer에서 MBR 수정
복구한 서과장 하드디스크 파티션에 Schematic.tc 파일이 존재한다.
tc (TrueCrypt) 파일은 암호화된 볼륨 파일이다.
TrueCtypt 프로그램을 설치하여 열어보니, 암호와 키가 있어야 오픈이 가능하다.
키 탐색
partition 1 > NONAME > root > RECYCLER (휴지통)
Dc1.txt 파일이 존재하는데, 역시나 키는 적혀있지 않다.
---
autopsy 설치
케이스 만들고 서과장 복원 파일 이미지 불러오기
확장자 불일치 확인하기 : 일반적인 파일 확장자가 아닌 파일들 탐지
Host와 volume 사이 20250217001.001 위에서 우클릭 > Run ingest modules
체크 해제 후 Extension Mismatsh Detector > Skip 체크 해제, Check all file types
---
vol2 > Documents and Settings > 서과장 > 바탕화면에 0001.png 파일 존재
osforensics > 유저 액티비티
휴지통만 체크 > 빠른 스캔 > partition 0
휴지통에 key.txt 파일이 버려진 것을 확인할 수 있다.
Prefetch 체크 > 빠른 스캔 > partition 0
70개의 파일이 추출된다.
- Javaw.exe
- Setup-openstego-0.6.1.exe
- Truecrypt_setup_7.1A.exe
- Truecrypt.exe
- Truectypt format.exe
- lzma_exe
- Javaserup8u51[1].exe
파일들이 있다.