[EnCase] 파티션 복구 (Partition Recovery) (3)

안녕하세요. 도깬리 포렌식스입니다.

오늘도 파티션 복구에 대해서 이어가겠습니다.

 

파티션을 나누는 방법

Primary Partition (Master Partition Table)

MBR 내에 파티션 테이블이 존재합니다.

최대 4개까지 존재합니다.

MBR 내의 마지막 엔트리는 확장된 파티션 테이블이 포함된 물리적 섹터로 연결될 수 있습니다.

 

Extended Partition Table

하나의 파티션 내에 여러 개의 논리적 볼륨을 생성할 수 있습니다.

드라이브 지정 영문자의 개수 만큼 논리적 볼륨이 생성될 수 있습니다.

확장된 파티션 테이블은 그것을 포함하는 볼륨의 VBR과 연동됩니다.

 

물리적 디스크에 대한 보고서를 보고 전체 디스크 구조 파악하기

Description 컬럼에서 파티션의 시작 위치와 마지막 위치, 파티션의 크기를 확인합니다.

 

 

삭제된 파티션을 찾는 방법

OEM 밴더 이름(VBR의 오프셋 3에 위치)을 키워드 검색으로 찾아 냅니다.

MSWIN4.1

MSDOS5.0

NTFS

 

 

감사합니다.

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)