관리 메뉴

Jsecurity

Data Leakage Case #2, partition info 본문

포렌식/Leakage Case

Data Leakage Case #2, partition info

Great king 2019. 10. 5. 19:26

https://holywaterkim.tistory.com/11?category=811084

 

data leakage case #2, partition info

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html #2. Identify the partition information of PC image. 파티션 정보는 MBR 에 저장되어 있다.(MBR 에 저장이 안되어있다면, 이것은 GPT 방..

holywaterkim.tistory.com

 위의 사이트의 해설을 참고하여  'Data Leakage Case'을 풀이 및 실습 하였습니다. 


2) Identify the partition information of PC image

 

파티션 정보는 MBR에 저장되어 있다.

(MBR에 저장이 안되어 있다면, 이것은 GPT 방식으로 GUID Partition Tables를 보아야 한다.)

# bytes per sector = 512 (properties 에서 확인가능)

 

[파티션 테이블 옵셋]

0-0:  Boot Flag (0x00 부팅 불가, 0x80 부팅 가능)
1-3:  CHS 주소지정방식의 시작위치 정보 [실린더 1byte, 헤드 1byte, 섹터 1byte]
4-4:  해당 파티션의 타입
5-7:  CHS 주소지정방식의 끝나는 위치정보
8-11: LBA 주소지정박식에 의한 파티션 시작주소
12-15: 해탕 파티션의 총 섹터 개수 x 512 = 한 파티션 용량 

 

Partition#1

80 | 20 21 00 | 07 | DF 13 0C | 00 80 00 00 | 00 20 03 00

         

Boot flag: 80 (부팅 가능) /File system type: 07 (NTFS) / LBA: 00 00 08 00 / SIZE: 00 03 20 00

부트 파티션/NTFS /시작위치: 0x8000 sector(=0x1000000 bytes) / 크기: 0x32000 sector (=0x6400000 bytes = 104857600 bytes = 100MB) / Start CHS: 00 21 20 / End CHS: 0C 13 DF

 

 

Partition#2

00 | DF 14 0C | 07 | FE FF FF | 00 28 03 00 | 00 D0 7C 02

 

Boot flag: 00 (부팅 불가) /File system type: 07 (NTFS) / LBA: 00 03 28 00 / SIZE: 02 7C D0 00

부트 파티션 아님 / NTFS / 시작위치: 0x32800 sector(=0x6500000 bytes) / 크기: 0x27CD000 sector (=0x4F9A00000 bytes = 21367881728 bytes = 20378 MB) / Start CHS: 0C 14 DF / End CHS: FF FF FE 

 


Result

 


Data Leakage Case 출처

https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html

 

CFReDS - Data Leakage Case

Data Leakage Case The purpose of this work is to learn various types of data leakage, and practice its investigation techniques. Scenario Overview ‘Iaman Informant’ was working as a manager of the technology development division at a famous international c

www.cfreds.nist.gov

Comments