디지털 포렌식을 하기 위해서는 저장매체의 파일시스템 구조를 알아볼 필요가 있다.
그리고 때로는 BR 부분이 망가져 복구를 하고 진행해야될 경우가 있다.
그렇기 때문에 이번에는 HxD 프로그램을 통해 파일시스템의 MBR 부분을 확인해보려고 한다.
FAT 파일시스템의 MBR의 다음과 같은 구조를 가진다.
이 그림중 55 AA는 매직코드 또는 Signature라고 표현을 하는데
SD카드 또는 USB에서 FAT32로 포맷을 하는 경우 [55 AA]라는 값이 설정이 된다.
그렇기 때문에 MBR 분석 중 Signature값이 55 AA가 보이면
FAT32 파일시스템으로 포맷이 된것이라고 보면 된다.
그리고 Partition의 경우 다음과 같이 table이 구성이 된다.
- Boot Flag : 부팅 가능 여부 확인(0x80 : 부팅가능, 0x00: 부팅불가능)
- Starting CHS Address : CHS 시작 주소 (Cylinder Head Sector의 약자로 물리적 디스크 접근 방식 중 하나) 파티션의 시작 주소를 의미.
- Partition Type : 파티션 타입을 의미하며 0x07이면 NTFS를 나타내고, 0x0B(CHS FAT32), 0x0C(LBA FAT32)를 의미. 0x05와 0x06은 확장 파티션
- Ending CHS Address : CHS 종료 주소
- Starting LBA Address : LBA 시작 주소.(Logical Block Area의 약자로 CHS의 용량 한계를 극복하기 위해 사용)로 파티션 시작 섹터 번호를 의미
- Size in Sector : 파티션의 섹터 수를 의미
이제 HxD 프로그램으로 MBR의 구조를 확인해보면 다음과 같이 나온다.
[Partition 01]
-------------------------------------------------------------------
00 02 03 00 0C 61 1B 06 80 00 00 00 00 90 01 00
-------------------------------------------------------------------
* 현재 이 저장매체는 한개의 파티션만 사용
* CHS 시작 주소 : 0x02, 0x03, 0x10
* Partition Type : 0x0C (FAT32)
* CHS 종료 주소 : 0x61, 0x1B, 0x60
* LBA 시작 주소(파티션 섹터 시작 번호) : 0x00, 0x00, 0x00, 0x80 : 10진수 128
* 파티션의 섹터 수 : 0x00, 0x90, 0x01, 0x00 : 10진수 102,400
** http://yebig.tistory.com/117
** http://humanistcpu.blogspot.com/2013/10/hxd-mbrmaster-boot-record.html
'운영체제(OS) > 윈도우(Windows)' 카테고리의 다른 글
| 레지스트리 백업 및 복원 (0) | 2018.01.18 |
|---|---|
| 주요 Windows Artifacts(시스템 폴더 구조) (0) | 2017.12.07 |
| Tail for Win32(윈도우 로그파일 실시간 확인 프로그램) (0) | 2017.11.30 |
| 디스크 쓰기 방지 설정[레지스트리 수정] (0) | 2017.11.29 |
| 윈도우 파일시스템의 종류 및 특징 (0) | 2017.07.18 |