안녕하세요. 도깬리 포렌식스 입니다.
오늘은 MBR과 파티션의 구성 메커니즘에 대해 알아 봅니다. 모두 화이팅 하세요!!!
기본적인 MBR 개념
512바이트 섹터 안에 MBR이 위치합니다.
부트코드 + 파티션 테이블 + 시그너처로 구성됩니다.
부트코드
파티션 테이블을 처리하는 명령어 + 운영체제 위치를 확인하는 명령어로 구성되어 있습니다.
파티션 테이블
4개의 엔트리를 갖습니다.
각 엔트리의 구성 항목은 다음과 같습니다.
- 파티션 시작의 CHS 주소
- CHS 주소 : 8GB 이하 디스크에서만 동작, 즉 최신시스템에서는 필요 없으나 과거의 시스템을 위해 필요합니다.
- 파티션 끝의 CHS 주소
- 파티션 시작의 LBA 주소
- LBA 주소 : TB 크기의 디스크까지 사용가능 합니다.
- 파티션의 섹터 수
- 파티션 타입 : FAT, NTFS, FreeBSD 등
- 플래그 : 부팅 가능 여부를 구분합니다. 예) 부팅 가능 : 0x80
파티션 테이블 예제 : ext-part-test-2.dd
확장 파티션 개념
4개 이상의 파티션을 만들 경우, 마지막 엔트리를 ‘확장 파티션’으로 만듭니다.
주 파일시스템 파티션 (Primary File System Partition)
MBR의 엔트리에서 지정한 파티션입니다.
파일시스템이나 다른 구조화된 데이터를 포함합니다.
주 확장파티션 (Primary Extended Partition)
MBR의 엔트리에서 지정한 파티션입니다.
추가적인 파티션을 포함합니다.
부 파일시스템 파티션 (Secondary File System Partition)
논리 파티션 입니다.
주 확장파티션 내부에 위치합니다.
파일시스템이나 다른 구조화된 데이터를 포함합니다.
부 확장파티션 (Secondary Extended Partition)
1개의 파티션 테이블과 1개의 부 파일시스템 파티션을 포함합니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : File System Forensic Analysis (Brian Carrier)
'File System Forensics' 카테고리의 다른 글
| [File System] 메타데이터 기반 복구 기술, 압축과 암호화 등 (0) | 2023.05.25 |
|---|---|
| [File System] 논리적 파일 주소와 슬랙 공간 (0) | 2023.05.22 |
| [File System] 파일시스템과 주소, 데이터 할당 정책 (0) | 2023.05.20 |
| [File System] 볼륨과 파티션 (0) | 2023.05.16 |
| [File System] 데이터 구조체 (0) | 2023.05.14 |