파일카빙(winhex활용)

파일카빙? 메타정보를 이용하지않고 파일의 시그니처를 이용하여 복구하는 방식. 분석도구 - winhex tools - opendisk pc의 c드라이브이미지를 분석하기 적절치 않았기 때문에 분석 파일인 rat-d1 파일을 분석함. partition1, 2로 나뉘어져 있는데 100MB에 윈도우 운영체제와 파일이 모두 들어가 있을수 없으므로 2를 선택한다. free space - 현재는 사용하지 않는 영역을 도구에서 모아서 파일형태로 제공. 삭제된 파일 등을 확인할 수 있다. 파일카빙을 위해 tools - disk tools - file recovery by type 을 선택함. 도구에서 가지고있는 파일의 시그니처가 출력된다. 파일카빙을 위해 시그니처 jpeg, png를 선택하고 결과를 저장할 output p..

2021.04.19