2008년 06월 02일

EnCase로 리눅스 파티션 복구하기

기계적으로 따라만 해도 리눅스 파티션 복구는 간단하게 이뤄진다.
이게 기본으로 제공되는 EnScript에서 지원되는 줄 알았다가 꽤나 시간 들이게 되었다.ㅠ_ㅠ

해당 시스템은 윈도우+페도라가 깔린 시스템이였는데, 이걸 또 USB로 BT3를 부팅해서 사용했던 것이였다.

1. 윈도우 파티션과 boot 파티션은 인식이 되었다.

2. 우선 리눅스 머신의 매직값 53 EF를 찾기 위하여 키워드 등록을 하여둔다.
※ 추가: 깜빡했던 부분인데, SO가 반드시 56이여야 한다. 다른 오프셋 위치에 있는 53 EF는 매직값이 아니다
3. 찾아본다.
4. 총 8개를 탐색했으나 한개 이후의 나머지 파티션들은 몇번에 걸쳐 덮어씌였던 것이라 복구가 되지 않았다.
(그게 아니라 저널링때문에 매직값이 많이 탐색된건가?-_- 대략 섹터간 차이로 봤을때 그건 아닌거 같은데..)
5. 찾은 결과 값 안에서 한개를 선택하고 바로 DISK 버튼을 누질러준다.(EnCase 참 잘만들었다 :) PS값 주목!
6. 디스크에서 도착한 값보다 2섹터 앞의 Sector Offset 04부터 4섹터가 파티션 크기다 Little Endian으로 저장되어 있으므로
긁은 후에 오른쪽버튼에서 Go To 대화상자 안에서 쉽게 확인 가능하다(나온값을 잘 적어둔다)
(이 예제에선 10412932가 매직값 위치였기에 10412930 PS에서 SO 04부터 4섹터만큼을 선택하여 2500900 값이 나왔다)
7. 이제 나온 값 가지고 다음처럼 파티션을 추가한다. VBR 이전 값이 63인게 일반적이랜다 아닐 경우 찾기 좀 복잡해진다.
클러스터 값도 8로 ...이 값이 나온 이유를 적으려면 너무 길어질 것 같다. 이건 리눅스 파일 시스템 공부를 따로 하는게 나을듯
리눅스는 일단 이렇게 하면 복구되는듯...EXT3도 EXT2로 폴더 구조를 복구해낼수 있는것 같다. 각각 CASE를 다 해본게
아니라 장담은 못하겠다-_-;(피드백 주세요~)
8. 이렇게 추가 하고 나면 잠깐의 버벅임 후에 이렇게 깔끔히 파티션이 복구되어진다. 낄낄낄

초 간단 리눅스용 파티션 복구 메뉴얼 끝-_-ㅋ 뭐 이래 저래 EnCase는 참 강력한 툴이다.

이 글과 관련있는 글을 자동검색한 결과입니다 [?]

by 용기백배 | 2008/06/02 17:44 | 魄杯강화 | 트랙백 | 덧글(2)

트랙백 주소 : http://ykei.egloos.com/tb/4397898
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented at 2008/09/17 13:18
비공개 덧글입니다.
Commented by 용기백배 at 2008/09/21 15:48
비공개님 : EnCase 공부는 있어선 많은 케이스를 직접 해보는게 아닌가 싶네요.^^ 메뉴얼이라 하시면 EnCase User Manul이 있긴하고, 교육시에 주는 메뉴얼이 있긴한데 파일로 가지고 있는건 유저 메뉴얼밖에 없네요. 그건 가이던스 사 홈피에서 아마 받으실수 있으실꺼에요. 힘드시면 이멜을 알려주시면 추려서 보내 도록 하겠습니다. 저도 그다지 아는게 많지가 안하서 별 도움이 안되서 죄송합니다.__)

:         :

:

비공개 덧글

◀ 이전 페이지다음 페이지 ▶