머리
몸통

시스템 관리 @ 강좌데이터 복구/관리

데이터 복구툴, 데이터 백업/동기화등 데이터 유지/복구에 관한 공간입니다.

안녕하세요? 지킬박사입니다.  날씨는 맑고 햇살도 좋은데.. 여전히 바람도 불고 기온도 쌀쌀합니다.

환절기 감기 조심하셔서 건강과 함께 봄을 맞이 하시길 바랍니다. *^^*

 

지난 주 이슈가 된 DDoS 공격과 관련하여 좀비 PC가 되었다가 자폭(자기 삭제) 공격에 당한 PC가 주변에 없어서 궁금하던차.. 직원들에게 부탁하여 직원's 지인분의 PC를 잠시 살펴 볼 좋은 기회가 있었습니다.

C: 드라이브가 아닌 D: 드라이브의 다소 중요한 파일들이 있는데.. 복구를 시도 해보겠다는 조건으로 직원들과 같이 살펴 보기로 했습니다. *^^*

 

해당 사용자분께서는 XP를 운영체제에 디스크샷™과 같은 복구 솔루션을 사용하지 않으셨고, D: 드라이브에 이미지 백업 솔루션으로 이미지 백업을 해두시고 사용하시는 사용자였으며, 뉴스에서 바이러스 검사를 해보라고 하기에 주말에 (안전모드가 아닌 일반 모드 부팅 후..) V삼 DDoS 전용 백신을 다운받아서 검사를 하는 도중 PC가 재부팅 되면서.. 아래 이미지처럼 정상적인 부팅이 불가하였다고 합니다. (C: 는 FAT32,  D: 는 NTFS로 전해 들었습니다.)

 

BootFail.png

 

 

이 상태의 PC를 PE로 부팅을 해보니.. 윈도우(PE)의 디스크 관리자 및 HDTune 툴에서도 예상대로 MBR이 Wipe(0으로 초기화)되어 파티션이 아예 없는 새 HDD 처럼 확인이 되었습니다. (대상 디스크는 250GB HDD 입니다.)

 

DefectDiskmgmt.PNG

 

DefectHDTune.PNG

 

아래는 덤프를 뜬 MBR(Defected.TXT)의 상태입니다.

 

DefectMBR.png

DefectHex.png

 

 

DDoS 악성코드가 시간상 전체 HDD를 Wipe 하지는 못했을 것으로 판단하고  파티션 복구시 유용하게 사용하고 계시는 TestDisk로 파티션을 복구 해 보기로 했습니다.(참고: http://www.diskool.com/685874)

 

* PE로 부팅한 상태에서 TestDisk 윈도우용을 실행하였습니다. (v6.11.3)

   > 과정은 설명없이 스샷만 소개드리겠습니다.

 

① 새로 로그파일 생성 선택..

TestDisk01.png

 

② 작업할 디스크(삼성 250GB) 선택..

TestDisk02.png

 

③ 일반적인 윈도우용 파티션(Intel ??) 선택..

TestDisk03.png

 

④  파티션 구조 분석 및 손상된 파티션 검색 선택..

TestDisk04.png

 

⑤ 현재 검색된 파티션 없음을 확인하고 빠른 검색을 선택..

TestDisk05.png

 

⑥ XP를 사용하셨으니 N를 선택..

TestDisk06.png

 

⑦ 다행이 두개의 파티션이 검색이 되었습니다.

 

TestDisk07.png

 

⑧ 검색된 파티션 정보를 MBR에 쓰기(Write)를 선택하였습니다.

TestDisk08.png

 

⑨ MBR에 쓰는 과정이므로 한번더 확인을 합니다. Y

TestDisk09.png

 

⑩ 파티션 정보 쓰기 작업이 완료 되었습니다.

TestDisk10.png

 

 

어떻게 되었을까요? *^^*

 

재부팅 후 확인을 하니 FAT32 파티션이었던 C: 드라이브는 파일이 하나도 없는 상태였습니다. (아마도 FAT까지 Wipe가 된것으로 예상이 됩니다.)

하지만 D: 드라이브(NTFS)는  거의 완벽하게 복구가 된 상태로 확인이 되었습니다.

다행이 내문서/바탕화면/즐겨찾기등의  사용자 폴더를 D: 드라브로 옮겨 두고 사용을 하셨던 분이라 중요 파일과 개인적인 파일들 모두 원상태 그대로 확인이 되었으며,  D: 드라이브에 있던 백업 이미지를 이용하여 C: 드라이브 복구작업 또한 원할하게 진행이 되었습니다. (백업 이미지등으로 복구후 부팅이 되지 않는 경우, FDisk 나 GDisk, MBRWizard 등으로 MBR을 초기화 해 주시면 됩니다.)

 

RecoverDiskmgmt.PNG

RecoverHDTune.PNG

 

 

아래는 복구 후 덤프를 뜬 MBR(Recover.TXT)의 상태입니다.

 

RecoverMBR.png

RecoverHex.png

 

이처럼 생각보다 간단하게 복구가 되어, 정상적인 모습으로 사용자에게 돌려 드렸답니다. *^^*

다만, 시간 관계상 바로 복구(이미지)를 해버려서 정확하게 C: 드라이브의 어느 영역까지 손상이 되었는지 여부를 자세히 확인하지 못한 것이 약간 아쉬운점으로 남았습니다.

 

디스쿨 회원분들께서는 대부분 디스크샷™을 사용하시기 때문에, DDoS 자기 파괴 공격이나 MBR을 공격하는 바이러스에 감염이 되어도 문제없이 보호가 가능하겠습니다만.. 혹시나 참고가 되실까? 해서 스샷위주로 간단히 소개를 드렸습니다.

 

참고만 하시길 바랍니다. 

4225일블론디[레벨:15]
이 댓글을... 03/09, 10:47

저는1번 하드의 파티션을 삭제 해야 하는데 실수로 2번 하드의 파티션을 삭제 하는 바람에 삭제된 2번 하드의 파티션을 살릴려고 박사님이 소개한 Testdisk유틸을 사용적이 있었습니다. 물론 100프로 복구했었구요... 그때 이후로는 사용 하지 않아서 잊고 있었는데...다시 Testdisk에 대한 내용을 보니 감회가 새롭네요...좋은정보 감사합니다~

4229일id: 웃는나님[레벨:31]
이 댓글을... 03/09, 11:10

시스템디스크는 완벽히 지워버렸군요. 아니면  fat32 형태라서 그런 걸수도 있겠구요. 수고하셨습니다.

4403일지킬박사[레벨:28]
이 댓글을... 03/10, 09:03

전해 들었습니다만.. C: 드라이브가 NTFS인 경우에도 정상적인 복구는 어려웠다고 하더군요.. ^^

3567일쇠쟁이[레벨:12]
이 댓글을... 03/09, 12:58

와~~고생하셨습니다... 바이러스를 넘어 복구를 하신부분...멋지네요..

3590일bluesea[레벨:27]
이 댓글을... 03/09, 19:35

좋은 정보네요.

수고하셨습니다.                                

소스콩
이 댓글을... 03/10, 08:02

수고하셨습니다.

정말 심하군요.

백업이 되지 않았다면 어려움에 처할 뻔 했네요.

디스크샷의 존재가 이런 어려움에서 지켜주어 너무나 감사합니다. *^^*

 

3628일sirius[레벨:9]
이 댓글을... 03/10, 08:46

다행히 피해는 없었지만... 정말 유용한 정보네요.

만능은 아니지만 Testdisk라는 툴 정말 강력한긴 합니다.

수고하셨습니다.

 

2912일하늘바람[레벨:1]
이 댓글을... 03/15, 19:27

좋은 정보 감사합니다.^^

 

디샷의 경우에는 디소스 공격당해도 복구가 가능한 것 이겠지요??ㅎㅎ

 

곳 있으면 디샷을 사용할 수 있어서 미리 질문드려봅니다^^;;

4403일지킬박사[레벨:28]
이 댓글을... 03/15, 19:31

네.. 문제 없습니다. 디스크샷™은 DDoS 뿐이아니라 섹터레벨로 동작하는 저레벨 바이러스조차 방어가 가능합니다.


참고: <디스크샷™ 소개><복구 솔루션 바이러스 테스트 #1>, <복구 솔루션 바이러스 테스트 #2>

3194일당나구맨[레벨:1]
이 댓글을... 03/21, 13:03

항상 좋은 정보 감사합니다.

오공
이 댓글을... 03/23, 10:35

좋은정보 고맙습니다...^ ^

2811일도사마자[레벨:23]
이 댓글을... 03/25, 02:54

정말, 정말 좋은 정보네요.

이렇게 간단하게 복구가 가능한 방법이 있다니...

역시 지킬박사님 짱 멋지십니다.

디스크샷 사용하는 유저들은 안심하더라도 그 외 분들 혹시라도 피해보시면 이 방법 추천해 드려야 겠어요.

감사 합니다.

3342일자꾸러기[레벨:2]
이 댓글을... 04/01, 18:56

정말 좋은 정보네요...감사합니다.

2802일컴공[레벨:0]
이 댓글을... 05/15, 01:24

좋은 정보 감사드려요^^ 좋은 팁이네요^^

3541일보슬비[레벨:1]
이 댓글을... 05/15, 21:00

좋은 정보 감사합니다.

2785일아마도[레벨:2]
이 댓글을... 06/11, 18:15

여러 유틸을 알수가 있는 좋은 기회 였습니니다. 감사합니다.

2705일James Lee[레벨:1]
이 댓글을... 07/04, 16:19

아!, 저렇게 파티션 날려먹으면, 당사자는 얼마나 당황스러웠을까...

2622일니슈가[레벨:1]
이 댓글을... 09/15, 19:06

오 좋은 복구 실예를 남겨주셨네요. 참고하겠습니다.

강태공
이 댓글을... 09/18, 10:38

좋은정보 감사합니다

 

2795일컴초보100[레벨:1]
이 댓글을... 12/08, 23:46

좋은정보 감사합니다

2935일베루두치[레벨:14]
이 댓글을... 01/24, 05:32

감사합니다

2472일mike[레벨:4]
profile
이 댓글을... 02/12, 23:55

Thanks for your information!

2472일구리시[레벨:15]
이 댓글을... 02/22, 17:29

요즘 저도 하드디스크 3개가 모두 에러가 생겨 A/S 보냈는데

컴퓨터 부품중에서 가장 취약한 부분이 하드디스크로 여겨 집니다

2178일조은컴[레벨:1]
이 댓글을... 12/01, 17:41

수고하셨습니다.    

List of Articles
번호 제목 글쓴이 날짜

4하드 통으로 사용할때 파일관리 깔끔하게 - vhd imagefile [4]

이 방법은 공용pc에 추천합니다(피방 등) 이 방법은 비스타 이상의 os에서만 가능합니다 pc방의 경우에는 파티션을 통으로 사용해야 하는 것은 알고 계시죠?(바이러스땜에) ...

2049일안티IE[레벨:10]
2013-06-13
12444
1
No
Image

3역카피를 방지해보자. [19]

안녕하세요; 초보자를 위한 팁입니다. 고스트와 같은 프로그램으로 디스크투 디스크를 진행하다보면 낮은 확률로 역카피가 되는 경우가 있습니다. ^^ 여분의 백업본이 있다면...

2935일베루두치[레벨:14]
2012-10-10
12465
1
No
Image

2윈도우 8 '파일 히스토리' 로 파일 백업, 복원하기 movie [3]

그레이
2012-10-02
12031
0

1DDoS 자폭 공격으로 인한 HDD(데이타)손상을 복구 해 보... imagefile [24]

안녕하세요? 지킬박사입니다. 날씨는 맑고 햇살도 좋은데.. 여전히 바람도 불고 기온도 쌀쌀합니다. 환절기 감기 조심하셔서 건강과 함께 봄을 맞이 하시길 바랍니다. *^^* ...

4403일지킬박사[레벨:28]
2011-03-09
15490
1
꼬리
전체메뉴
전체메뉴
닫기