Download presentation
Presentation is loading. Please wait.
1
Monday_10.30 HEX Editor
2
Monday_10.30 OpenStego 그림파일 안에 메시지를 숨겨서 상대방에서 줄 수 있음 약간 암호학 같은 것임
3
Monday_10.30 FTK Imager 디스크 이미지의 삭제 되어진 파일 및 디스크를 읽고 내용을 보여주는 툴임
4
Monday_10.30 파일의 시그니처 파일에는 확장자에 대한 Signature와 Footer가 존재함
다음과 같이 파일을 알 수 있음
5
Monday_10.30 가상 디스크 만들기 가상에 디스크를 해당 폴더 하위에 만들 수 있음 언제든 뗏다 붙였다 할 수 있음
포렌식 할 때 디스크 이미지를 이것으로 함
6
Monday_10.30 Disk 포렌식(삭제 파일 복구) 레지스트리에서 디스크를 확인 할 수 있음
7
Monday_10.30 Disk 포렌식 섹터 0 시작 위치: 00 00 00 80 -> 128
용량 : ( x 512) / 1024 / > 256Mb 섹터 128 MBR -> 128 예약된 영역 18 1E -> 6174 FAT#1 -> F1 -> 1009 FAT#2 -> F1 -> 1009 Total = 8320 8320 섹터에 BR가 존재함 섹터의 개수는 4개이다.
8
Monday_10.30 Disk 포렌식 용량: 00 00 10 53 -> 4179
위치: > ( ) x 4(섹터 개수) = 568 8320(현재섹터) = 해당 파일의 위치 용량: A 16 -> 위치: 00 0E -> (14 – 2 ) x 4(섹터 개수) = 48 8320(현재섹터) + 48 = 해당 파일의 위치 용량: > 32 위치: 00 0D -> (13 – 2 ) x 4(섹터 개수) = 44 8320(현재섹터) + 44 = 해당 파일의 위치 용량: C -> 10044 위치: > (6 – 2 ) x 4(섹터 개수) = 16 8320(현재섹터) + 16 = 해당 파일의 위치
9
Monday_10.30 Disk 포렌식 Folder 하위에 File을 찾음
위치: > (148 – 2 ) x 4(섹터 개수) = 584 8320(현재섹터) = 해당 파일의 위치 용량: BD -> 위치: > (149 – 2 ) x 4(섹터 개수) = 588 8320(현재섹터) = 해당 파일의 위치
Similar presentations