[디지털포렌식]HxD를 통하여 사진 복구하기

사진을 복원하기에 앞서 파일시스템 구조에 대하여 알아보자!

1. Boot Sector : 운영장치를 담는 저장공간
2. Super Block : 파일시스템의 기본, 전체 파일 시스템에 대한 정보를 저장하고있는 블록
3. Bitmap : 각 블록의 Yes/No 비트로 표현
4. INode Table : 각 파일이나 디렉터리에 대한 모든 정보를 저장하고 있는 블록
5. Data Blocks : 디렉터리별로 디렉터리 엔트리와 실제 파일에 대한 데이터가 저장된 블록

사진 복원 절차를 간단하게 설명해보자면!

1. HxD를 통하여 파일을 읽고 파일의 INode Table에서 Root INode를 찾습니다
2. Root INode 사진 복원할 데이터를 찾습니다
3. 새로운 HxD파일을 만들어 복원할 데이터 부분을 복사후 붙여넣습니다

(자세한 설명 : http://forensic-proof.com/archives/389 )

삭제파일 분석 설명

HxD를 통해서 USB를 이미징을 한 파일을 연후 E5를 검색하여 찾아봅니다 그럼 사진과 같은 부분이 검색됩니다!

그럼 동그라미 친 부분들은 요약하여 말하면 삭제된 파일의 데이터 영역을 시작점을 계산할 수 있게 해주는 부분입니다
섹터 8192에 리틀엔디언방식으로 기입된 (00 00 02 01)을 변환하여 (00 00 01 02)로 바꿔주고 16진수로 기입되어 있으므로 10진수로 바꿔주면 256이라는 숫자가 나옵니다 섹터(8192) + 16진수변환값(256-2) 를 계산하고 *8을 한 값을 더해줍니다
그렇게하여 계산한 결과값은 10240이 나옵니다

다음으로는 네모친 부분은 파일 시스템의 크기를 가르켜주는 부분으로써 HxD에서 아까 계산한 섹터값 10240에 파일의 크기를 더해주면 됩니다!

파일 시스템의 크기도 리틀엔디업 방식으로 기입되어 있으므로 길이부분에 00 01 C5 22를 기입하면 됩니다

HXD에서 블록선택을 통하여 다음과같은 과정을 수행하면

아래그림과 같이 HxD에서 선택이 됩니다

이부분을 복사 한후 새파일을 만들어 붙여넣기 한후 저장한후

동그라미친 파일을 이름의 확장자를 .jpg로 고쳐주면

다음과 같이 사진이 복원됩니다!