Security

* root directory 변경

-> 삭제 시, 변경된 첫 byte (0xE5)에 원래 파일 이름 첫글자를 hex값으로 넣는다.

 -> a에 해당하는 41 / w에 해당하는 57을 넣는다.

* FAT Area 변경

-> directory entry를 통해 File Size를 알아 낼 수 있다.

  : 그렇게 되면, 해당 file에 관한 cluster 정보를 알 수 있다.

 -> ahnlab.txt는 cluster 1

 -> wowzz.txt는 cluster 3

  : 해당 cluster자리에는, 다음 cluster 번호를 써준다.

* Data Area 확인

 -> 내가 직접 해당 영역을 수정하거나

 -> 새로운 File이 써지기 전까지는 변할 일이 없다.

* 삭제 된 파일 복원

-> 해당 파일이 복원된 것을 알 수 있다.

* root directory 확인

-> File을 삭제 후 root directory로 이동하여 상태를 확인했다.

 -> ahnlab.txt와 wowzz.txt의 directory entry 확인 결과

  : 모두 첫 byte의 값이 E5로 변한 것을 알 수 있다.

* FAT Area 확인

-> FAT Area의 값이 변경된 것을 알 수 있다.

 -> 위는 FAT Area #2 값이며,

  : 예전에 살펴봤듯이, 파일의 할당 정보를 정상적으로 닮고 있는 모습이다.

 -> 아래는 FAT Area #1 값이며,

  : QUDTLS에 관한 cluster는 정상이지만

  : ahnlab.txt와 wowzz.txt의 값은 0x00으로 초기화 된 것을 확인할 수 있다.

* Data Area 확인

 -> 해당 cluster를 따라가서 Data를 확인해 보겠다.

-> 삭제도 됐고, FAT Area도 0x00으로 초기화 됐지만

  : 해당 cluster안에 내용은 살아 있는 것을 알 수 있다.

* File 찾기

 -> File을 찾아가는 방법은 앞에 소개한 블로그 내용과 같다.

 -> 먼저, root directory로 이동하게 된다.

  : 보통 root directory는 FAT Area 다음에 오게 된다.

  : 하지만 boot sector의 BPB에서 확인을 한다.

 -> 경로에 하위 directory가 더 있는 경우

  : root directory에서 해당 하는 directory entry를 찾아간다. 

 -> 해당 directory entry에서 시작 cluster 위치를 얻는다.

 -> FAT Area에서 파일 할당 상태를 파악한다.

 -> 그 크기만큼 획득한다.

* File 삭제

 -> 먼저, root directory로 이동하게 된다.

 -> 하위 directory entry를 찾은 후, 해당 directory가 위치한 cluster를 찾는다.

 -> 해당하는 File의 cluster를 찾는다.

 -> 해당 entry의 첫 byte 값을 0xE5로 변경하고 시작 cluster 위치를 얻는다.

 -> FAT Area에서 시작 cluster부터 탐색하면서 0x00으로 초기화한다.

* Data Area는????

 -> File을 삭제한 뒤, FAT Area는 모두 0x00으로 초기화된다.

 -> 후에 다른 파일들을 위해 사용하게 된다.

 -> 그렇다면 Data Area에 있는 data는 어떻게 될 것인가??

  ** 아무런 수정을 하지 않는다. **

 -> 해당 directory entry의 file size를 통해 시작 cluster와 file size만큼 획득하며 복구가능하다.

  : FAT Area가 새로운 file로 쓰이면, 해당 cluster도 새로운 file로 써지기에 복구가 불가능하지만

  : if) directory entry에만 쓰인 경우는 "파일 카빙 기법"을 통해 복구할 수 있다.

* 삭제

* 참조

 -> http://forensic-proof.com/archives/389

* Data Area 분석

 -> 이제 거의 다 왔다.

 -> 이제 해당 file에 씌어진 내용을 찾아야 한다.

 -> 어떻게 찾을것인가????

* 어떻게 찾을까??

 -> 먼저 root directory는 16,780,099 sector임을 알 수 있다.

  : 이것은 cluster 2라는 것도 알 수 있다.

 -> MBR 분석시, 1 cluster는 8개의 sector를 가지고 있다는 것을 알았다.

 -> 그럼 cluster 3을 가리키는 ahnlab.txt의 sector는 무엇일까??

  : 16,780,107 sector임을 알 수 있다.

 -> 그럼 cluster 4,5,6을 가리키는 wowzz.txt의 sector는 무엇일까??

  : 16,780,115 ~ 16,780,138 sector임을 알 수 있다.

* ahnlab.txt

* wowzz.txt

* FAT Area

 -> Reserved Area 다음으로 나오는 영역이다.

 -> 해당 Data Area의 정보를 FAT entry로 구성되어 보여준다.

 -> 해당 Data의 할당 관계를 보여준다.

  : cluster로 표현한다.

  : 보통 cluster 0과 1은 예약된 영역이다.

  : root directory는 cluster 2부터 시작한다.

* FAT Area 분석

-> F8 FF FF 0F

  : FAT entry 1 = cluster 0

  : media type을 나타낸다.

 -> FF FF FF FF

  : FAT entry 2 = cluster 1

  : partition status를 나타낸다.

 -> FF FF FF 0F

  : FAT entry 3 = cluster 2

  : Root Directory를 나타내며 / 마지막 cluster이다.

 -> FF FF FF 0F

  : FAT entry 4 = cluster 3

  : Root Directory를 분석했을 때, AHNLB.TXT의 첫 할당 cluster는 3이라는 것을 알 수 있다.

 -> 05 00 00 00

  : FAT entry 5 = cluster 4

  : Root Directory를 분석했을 때, WOWZZ.TXT의 첫 할당 cluster는 4라는 것을 알 수 있다.

  : FAT Area를 공부했을 때, 그 자리에는 다음 cluster 번호를 쓴다.

 -> 06 00 00 00

  : FAT entry 6 = cluster 5

  : 그 자리에는 다음 cluster 번호를 쓴다.

 -> FF FF FF 0F

  : FAT entry 7 = cluster 6

  : 해당 cluster가 마지막 cluster임을 나타낸다.

* Root Directory

 -> Data Area에서 가장 중점적인 부분이다.

 -> 모든 Directory entry를 종합적으로 모아두고

  : 해당 Directory에 관한 정보를 32byte씩 보여주고 있다.

* Root Directory 분석

 -> 총 3개의 Directory Entry를 볼 수 있다.

 -> 처음 32byte

  : QUDTLS Directory Entry

 -> 다음 32byte

  : AHNLAB.TXT Directory Entry

 -> 그 다음 32byte

  : WOWZZ.TXT Directory Entry

* QUDTLS

 -> 51 55 44 54 4C 53 20 20

  : 이름을 알 수 있다.

 -> 20 20 20

  : Partition이기에 확장자가 없는 것을 알 수 있다.

* AHNLAB.TXT

 -> 41 48 4E 4C 41 42 20 20

  : AHNLAB이라는 이름을 나타낸다.

  : 빈칸은 0x20으로 채웠고 / 모두 대문자로 나타난다.

 -> 54 58 54

  : txt라는 확장자를 알 수 있다.

 -> 00 00 03 00

  : 00 00은 해당 file에 대한 First Cluster High

  : 03 00은 해당 file에 대한 First Cluster Low

  : 00 00 00 03 -> 즉 cluster 3을 나타낸다.

 -> 5B 00 00 00

  : 해당 File에 Size를 알 수 있다. 

  : 91byte

* WOWZZ.TXT

 -> 57 4F 57 5A 5A 20 20 20

  : WOWZZ이라는 이름을 나타낸다.

  : 빈칸은 0x20으로 채웠고 / 모두 대문자로 나타난다. 

 -> 54 58 54

  : txt라는 확장자를 알 수 있다.

 -> 00 00 04 00

  : 00 00은 해당 file에 대한 First Cluster High

  : 04 00은 해당 file에 대한 First Cluster Low

  : 00 00 00 04 -> 즉 cluster 4을 나타낸다.

 -> 16 23 00 00

  : 해당 File에 Size를 알 수 있다. 

  : 8982byte

* Reserved Area 분석

 -> MBR과 VBR의 hex 값을 통해서 여기까지 왔다면 잘 따라온것이다.

 -> Reserved Area는 FAT32에서 처음 시작하는 부분이다.

* Boot Sector 분석

 -> 여러 정보를 한꺼번에 볼 수 있는 BPB가 있다.

 -> VBR 정보를 통해서 Starting LBA Address를 알고 이동한다.

 -> EB 58 90

  : jump code to boot code

 -> 4D 53 44 4F 53 35 2E 30

  : OEM Name으로 FAT32는 보통 MSDOS5.0을 나타낸다.

 -> 00 02

  : bytes per sector

  : 512byte

 -> 08

  : Sectors per cluster

  : 8

 -> 22 00

  : reserved area sector count

  : 34개의 sector가 할당되었다.

   * Reserved Area = 16,771,923 ~ 16,771 ,956

 -> E7 0F 00 00

  : FAT size 32를 나타낸다. (Reserved area 다음에 나오는 FAT Area 부분을 나타낸다.)

  : 4071

  : 여기서 우리는 FAT Area #1과 FAT Area #1를 알 수 있다.

   * FAT Area #1 = 16,771,957 ~ 16,776,027

   * FAT Area #2 = 16,776,028 ~ 16,780,098

 -> 02 00 00 00

  : Root Directory를 가리키는 cluster 번호를 나타낸다.

  : 2, 즉 cluster 2가 root directory가 된다.

   * 16,780,099 = cluster 2

* VBR

 -> MBR에서 관리하는 BR 중 하나이다.

 -> Volume Boot Record의 줄임말로서, 

  : 각 해당하는 volume에 대한 boot record를 나타낸다.

* VBR 분석

 -> MBR에서 분석한 결과, Starting LBA가 가르키는 sector로 이동했다.

 -> 이곳에는 MBR과 형태가 똑같은 Extended Partition에 대한 partition table이 있다.

 -> volume 확인을 했을 때, extended partition에는 하나의 logical partition이 존재하기에

  : 4개의 partition table에서 하나만 생성되어 있다.

* 00 FE FF FF 0B FE FF FF 3F 00 00 00 C5 BB 3F 00

 -> 00

  : do not use for booting

 -> 0B

  : partition type을 나타낸다.

  : 0B는 FAT 32를 나타낸다.

 -> 3F 00 00 00

  : Starting LBA address

  : 63

  : 16,771,860 + 63 = 16,771,923 sector 임을 알 수 있다.

* MBR 분석

 -> Master Boot Record

 -> 4개의 partition table을 이용해서

  : 현재 갖고 있는 partition의 상태를 알 수 있다.

* MBR

-> 빨간색 부분은 (C:)를 나타낸다.

  : 첫 byte는 boot indicator를 나타낸다. 

  : 80이면 system partition을 뜻하며, 부팅 partition임을 나타낸다.

 -> 우리가 알아야 할 FAT 32에 대한 부분은 파란색이다.

* <00 FE FF FF 0F FE FF FF 14 EB FF 00 04 BC 3F 00>

 -> 00

  : do no use for booting

 -> 0F

  : Partition type을 나타낸다.

  : 0F는 extended partition을 나타낸다.

 -> 14 EB FF 00

  : Starting LBA address

  : 16,771,860 sector임을 알 수 있다.

 -> 04 BC 3F 00

  : Total sectors

  : 해당 partition에 부여받은 총 sector수를 나타낸다.

  : 4,176,900

  : 4,176,900 * 512 = 2,138,572,800 = 약 2GB (해당 partition의 용량을 알 수 있다.)

* File 탐색

 -> 내가 생성한 파일을 Hex 값을 이용해서 찾아본다.

* volume 확인

 -> 파일을 생성한 곳에 File System은 무엇이고

 -> volume 구성은 어떻게 됐는지 파악한다.

 -> 총 2개의 Volume으로 구성되었다.

 -> 총 3개의 Partition으로 구성되었다.

  : (C:) - Primary Partition

  : 초록색: - Extended Partition

  : QUDTLS(D:) - Logical Partition

 -> 총 2개의 File System을 알 수 있다.

  : (C:) - NTFS

  : QUDTLS(D:) - FAT32

* File 생성

-> ahnlab.txt라는 1kb 파일을 만들었다.

 -> wowzz.txt라는 9kb 파일을 만들었다.