파일시스템 분석

[Device Info]
Source Type: Physical
[Drive Geometry]
Cylinders: 489
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 7,856,127
[Physical Drive Information]
Drive Model: SanDisk SanDisk Cruzer USB Device
Drive Serial Number: 4528720A2252D1E0
Drive Interface Type: USB
Removable drive: True
Source data size: 3835 MB
Sector count: 7856127
[Computed Hashes]
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071

 

Image Information:
Acquisition started: Thu Dec 06 15:43:56 2018
Acquisition finished: Thu Dec 06 15:46:47 2018
Segment list:
D:\000DigitalForensics\02WinForensic\0000EvidenceFile\USB_partition\evidence_usb01.001

 

Image Verification Results:
Verification started: Thu Dec 06 15:46:47 2018
Verification finished: Thu Dec 06 15:47:02 2018
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8 : verified
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071 : verified

 

Image Verification Results:
Verification started: Thu Dec 06 16:30:14 2018
Verification finished: Thu Dec 06 16:30:47 2018
MD5 checksum: 75db2b2a8535ac35e08e1880c5c6a8c8 : verified
SHA1 checksum: ea97b27546e7fd208afc204b2017aff0c894f071 : verified

 

usb 해쉬 값

total sector
Boot Flag
00
CHS 시작 주소
20 21 00
파티션 유형
07
NTFS
CHS 마지막 주소
CB 09 82
LBA 시작 주소
00 08 00 00                         00 00 08 00 (2048)
Total Sectors
00 08 20 00                     00 20 08 00 (2099200)

USB MBR 영역이 손상되어 두 개의 파티션을 분석할 수 없는 상태이다.\

-MBR(Master Boot Record)이 손상되어 VBR을 불러오지 못해 해당 파티션을 읽을 수 없다.

total sector 분석


MBR(Master Boot Record) 분석

0
00

1~3
20 21 00
4
07
NTFS
5~7
CB 09 82
8~11
00 08 00 00(LBA)                               00 00 08 00
2048
12~15
00 08 20 00(Total Sector)                  00 20 08 00
2099200
첫 번째 빨간색 밑줄은 파티션 유형에 대해서 알려주는 위치이다.(NTFS 확인)
두 번째 빨간색 밑줄은 Total Sector 정보가 담겨 있다.

MBR
1 섹터
2,047
섹터
#1 파티션 NTFS
2,048섹터 시작
2,099,200섹터 크기
#2 파티션
2,101,248섹터부터 시작

-첫 번째 빨간색 칸은 파티션 유형에 대해서 알려주는 위치이다.(FAT 32)
-두 번째 빨간색 칸은 Total Sector 정보가 담겨 있다.

MBR
1 섹터
2,047
섹터
#1 파티션 NTFS
2,048섹터 시작
2,099,200섹터 크기
#2 파티션 FAT32
2,101,248섹터 시작
5,750,784섹터 크기
mbr 복구
파티션 2개 마운트 확인

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다