FAT 32
파티션 크기 : 4GB
공유 보안만 가능
NTFS보다 탐색 속도가 빠름
cmd => chkdsk /f 를 해서 손상 디스크 복구 후, convert D: /fs:ntfs
NTFS
파티션 크기 : 2TB 이상
FAT32보다 안전하고 보안성이 뛰어남
포멧을 하지 않고 NTFS로 바꿀 수 있다.
NTFS -> FAT32 변환은 포맷이 필요하다. cmd 명령어는 못찾음
chkdsk -> 디스크 검사
convert E: /fs.nfts
컴퓨터 관리 : compmgmt,msc
디스크 관리 : diskmgmt.msc
USB 에서 알아낼 수 있는것
usb tool = usbdeview
FAT32 or NTFS
등록번호(tool or HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/USBSTOR/장치명
디스크 서명
1)
diskpart
select disk 번호
uniqueid disk
2) HxD 툴
섹터 0번째 01B8 ~ 01BB
예외적으로 디스크 서명 위치가 섹터0의 0044 ~ 0047 위치에 있는 경우도 있었음...
디스크 서명 교체 -->
---------------------------
diskpart
select disk 번호
uniqueid disk id=5f1b2c36
---------------------------
HKEY_LOCAL_MACHINE/SYSTEM/MountedDevice 레지스트리 값 뒤져서 수정
< 포렌식 디지털 증거 수집 > ( CMD : systeminfo )
사용자(PC이름) : 호스트 이름
하드디스크 종류 : compmgmt.msc
제조사 : compmgmt.msc
모델 : compmgmt.msc
용량 : 툴 및 compmgmt.msc
시리얼 번호 : CrystailDiskInfo 툴 사용
Actual Date : 실제 날자
Case Number : 사실, 사례번호
Evidence Number : 증거 번호
사본 작성자
Model/Serial Number : 모델/순차적 번호
Drive Type : 구동 방식
Acquisition MD5 : 습득 MD5
Verification MD5 : 확인,조회,입증 MD5
EnCase Version : encase의 버전
System Version : 시스템 버전
Write Blocked : 쓰기 금지
Total Size : 디스크 사이즈
Total Sectors
Disk Signature : 디스크 서명
Name / Id / Type / Start Sector / Total Sectors / Size
EASEUS Partition Master
(솔찍히 위 정보는 찾기가 까다로움 )
--------------------------------------------------------------------------
볼륨 일련번호 : cmd 창 dir
나. OS 정보 및 Time zone setting 확인
OS / OS 설치 일시 / Time zone (UTC+9:00) 서울
systeminfo
VID : PID
공급업체 ID : 시리얼 넘버
시리얼 넘버는 VID와 PID의 합이다. 하지만 회사에 따라 다른 규칙을 사용하는 곳도 있다.
SYSTEM/CurrentControlSet/Services/Disk/Enum
Product ID로 Serial 값을 얻을수 있다. ( 시리얼 = 등록번호 )
ex ) USBSTOR\Disk&Ven_YOUNUS&Prod_SWING&Rev_0.00\000000000019D8&0
(※ USB 시리얼 넘버는 정확이 확인 가능하나... 디스크 시리얼 넘버는 아래와 같은 방법으로 찾자..)
CMD창 = wmic diskdrive get index,serialnumber
SYSTEM/CurrentControlSet/Services/USBSTOR/Enum
Serial 값으로 원하는 VID PID를 구할 수 있다.
ex ) USB\VID_1307&PID_0165\000000000019D8
< 레지스트리 >
Windows에서 행해지는 거의 모든 작업은 레지스트리를 참고하며, 기록된다.
한명 또는 다수의 사용자를 위한 시스템의 환경설정 정보와 어플리케이션, 하드웨어 장치 정보 등을 저장하기 위해 Window 9x, CE, NT, 2000에서 사용하는 중앙 집중적이고 계층적인 데이터 베이스
CMD 창 = regedit
" HKEY "로 시작하는 5개 = 루트 키 (Root key)
컴퓨터 이름 확인 :
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/COMPUTERNAME
USB볼륨 시리얼 넘버
HKEY_LOCAL_MACHINE/SYSTEM/CONTROLLSET001/ENUM/USBSTOR
디스크 서명
HKEY_LOCAL_MACHINE/SYSTEM/MounteDevices
MBR ( Master Boot Record )
하드 디스크나 디스켓의 첫 번째 섹터에 저장 ( secter 0 = 512byte )
0x55AA = MBR의 끝을 나타내는 시그니처
BIOS 부팅 시 문제가 나면 MBR 문제
MBR은 메모리에 적재될 우녕ㅇ체계가 저장되어 있는 파티션의 부트 섹터 레코드를 읽을 수 있는 프로그램을 포함하며, 부트 섹터 레코드에는 다시 운영체계의 나머지 부분들을 메모리에 적재시키는 프로그램을 가짐
MBRWizard
파티션을 나누는 이유
데이터 보호 / 다수의 운영체제 이용시 / 효율적 공간 활용 등
Disk :
시스템에 장착되어 있는 파티션을 나누어 사용하는 저장장치
ex ) 플로피 디스크 드라이브, ZIP 드라이브, 하드디스크 드라이브 등
Disc :
광 디스크로 둥근 원반에 얇은 반사체를 입힌 후 레이저를 이용하여 데이터를 기록 레이저 반사를 통해 데이터를 읽는 방식의 기록 매체
ex ) CD, DVD, 블루레이 등
Windows에서의 Disk 종류
1. 고정 디스크 : 시스템에 장착되어 이동할 수 없는 형식의 디스크
2. 이동식 디스크 : 시스템에 언제든 탈부착 할 수 있는 형식의 디스크
3. 가상 디스크 : 윈도우 7부터 지원된 가상 하드디스크
[- 다른 저장메체에 파일의 형태로 존재하며 언제든지 시스템에 연결하거나 분리 가능]
'대학생활 > 포렌식' 카테고리의 다른 글
| 사이버 수사학 중간 대비 (0) | 2021.07.20 |
|---|---|
| 포렌식이란? (0) | 2021.07.20 |
댓글