[EnCase] 파티션 복구 (Partition Recovery) (2)

안녕하세요. 도깬리 포렌식스 입니다.

오늘은 파티션 복구 두번째 시간이네요. 파티션의 시작 위치는 VBR 입니다. VBR에 대해 알아 봅시다.

 

VBR (Volume Boot Record)

논리적 볼륨의 첫 번째 섹터를 볼륨부트레코드(VBR)라고 합니다.

Windows Vista, Windows 7 이후 버전은 기본적으로 첫 번째 논리적 볼륨이 물리적 섹터 2048번 섹터에서 시작합니다.

그러나, 실제로는 Windows XP의 경우와 마찬가지로 63번 섹터에서 첫 번째 볼륨이 시작하는 경우도 있습니다.

파티션 크기

NTFS VBR 안에는 해당 볼륨의 파티션 크기에 대한 정보가 있습니다.

파티션 크기는 섹터 오프셋 40 에서 8바이트의 값을 갖습니다.

파티션 크기는 MBR에서도 확인 가능하나, VBR에서도 파티션 크기에 대한 정보가 있습니다.

다만, 모든 NTFS 볼륨의 VBR은 MBR에서 보여주는 파티션의 크기보다 1섹터가 작습니다.

그 이유는 파티션 포맷시 VBR 사본인 볼륨의 마지막 섹터 1개를 제외하고 파티션 전체 섹터를 계산하기 때문입니다.

VBR 사본은 항상 EnCase 에서는 Volume Slack 영역에 포함되어 있습니다.

NTFS VBR의 사본

NTFS의 볼륨의 마지막 섹터는 VBR의 사본입니다.

 

볼륨의 마지막 섹터를 계산하는 공식

볼륨의 시작섹터 번호 + 볼륨의 전체섹터 수 = 볼륨의 마지막 섹터 번호

 

오늘은 여기까지입니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)