-
vbr
vbr의 클러스트당 섹터는 8개, 섹터의 바이트는 16진수로 200이다. 또한 $mft의 시작위치는 0xa6aa(클러스터 갯수)이다. 종합적으로 mft는 200 x 08 x a6aa = 0xa6aa000에 위치한다.
아래 사진 처럼 $mft가 존재하는 것을 $name 속성을 보고 알 수 있다.
-
파일 찾기
삭제 파일 위치는 43번 째이다. 즉 $mft의 entry는 0번이고 entry 당 2개의 섹터를 사용하기 때문에 43 x 2 x 200 을 더 이동하면 삭제 연습 파일 entry에 도달한다.
-
도달.
다음은 mft entry의 헤더이고 이 다음 0x0038의 위치에 속성들이 나오기 시작한다.
-
name의 속성
다음은 name의 속성이다.
아래 사진은 16진수로 되어 있는 이름이다.
이를 utf-16으로 변경하면 한국어로 변경된 이름을 찾을 수 있다.
-
파일 삭제하고 변화 보기(trim 정지)
trim을 멈추는 방법은 cmd - > fsutil 8dot3name set disabledeletenotify 1
아래 이름이 영역이 특히하게 변경되었다. 하지만 데이터 부분은 그대로 존재하는 것을 확인할 수 있다.
포렌식을 공부하는 학생입니다.