Monday_10.30 HEX Editor
Monday_10.30 OpenStego 그림파일 안에 메시지를 숨겨서 상대방에서 줄 수 있음 약간 암호학 같은 것임
Monday_10.30 FTK Imager 디스크 이미지의 삭제 되어진 파일 및 디스크를 읽고 내용을 보여주는 툴임
Monday_10.30 파일의 시그니처 파일에는 확장자에 대한 Signature와 Footer가 존재함 다음과 같이 파일을 알 수 있음
Monday_10.30 가상 디스크 만들기 가상에 디스크를 해당 폴더 하위에 만들 수 있음 언제든 뗏다 붙였다 할 수 있음 포렌식 할 때 디스크 이미지를 이것으로 함
Monday_10.30 Disk 포렌식(삭제 파일 복구) 레지스트리에서 디스크를 확인 할 수 있음
Monday_10.30 Disk 포렌식 섹터 0 시작 위치: 00 00 00 80 -> 128 용량 : (00 08 00 00 x 512) / 1024 / 1024 -> 256Mb 섹터 128 MBR -> 128 예약된 영역 18 1E -> 6174 FAT#1 -> 00 00 03 F1 -> 1009 FAT#2 -> 00 00 03 F1 -> 1009 Total = 8320 8320 섹터에 BR가 존재함 섹터의 개수는 4개이다.
Monday_10.30 Disk 포렌식 용량: 00 00 10 53 -> 4179 위치: 00 90 -> (144 - 2) x 4(섹터 개수) = 568 8320(현재섹터) + 568 = 해당 파일의 위치 용량: 00 04 0A 16 -> 264726 위치: 00 0E -> (14 – 2 ) x 4(섹터 개수) = 48 8320(현재섹터) + 48 = 해당 파일의 위치 용량: 00 00 00 20 -> 32 위치: 00 0D -> (13 – 2 ) x 4(섹터 개수) = 44 8320(현재섹터) + 44 = 해당 파일의 위치 용량: 00 00 27 3C -> 10044 위치: 00 06 -> (6 – 2 ) x 4(섹터 개수) = 16 8320(현재섹터) + 16 = 해당 파일의 위치
Monday_10.30 Disk 포렌식 Folder 하위에 File을 찾음 위치: 00 94 -> (148 – 2 ) x 4(섹터 개수) = 584 8320(현재섹터) + 584 = 해당 파일의 위치 용량: 00 38 20 BD -> 3678397 위치: 00 95 -> (149 – 2 ) x 4(섹터 개수) = 588 8320(현재섹터) + 588 = 해당 파일의 위치