[EnCase] 파티션 복구(Partition Recovery) (4)

안녕하세요. 도깬리 포렌식스 입니다.

오늘도 파티션 복구에 대하여 예를 들어 설명을 이어갑니다. 

 

삭제된 파티션에 대한 수동 복구의 예

(1) MBR의 0번 섹터에는 파티션 테이블이 위치하고 2개의 파티션 엔트리(M#1, M#2)가 보입니다.

 

(2) M#1이 가리키는 첫번 째 파티션의 위치는 63번 섹터입니다.

 

(3) 63번 섹터에 C 드라이브의 첫번 째 시작섹터인 VBR이 보입니다.

 

(4) M#2는 확장된 파티션 테이블이 7,164,990번 섹터에 위치하고 있음을 보여줍니다.

 

(5) 7,164,990번 섹터에는 2개의 파티션 엔트리(E#1, E#2)가 보입니다.

 

(6) E#1이 가리키는 첫번 째 파티션의 위치는 63번 섹터(논리적 섹터 주소)입니다, 물리적인 섹터 주소는 7,165,053번 섹터입니다.

 

(7) 7,165,053번 섹터에 D 드라이브의 첫번 째 시작섹터인 VBR이 보입니다.

 

(8) E#2는 확장된 파티션 테이블이 610,470번 섹터(논리적 섹터 주소)에 위치하고 있음을 보여줍니다. 물리적인 섹터 주소는 7,165,640번 섹터입니다.

 

(9) 7,165,640번 섹터에는 1개의 파티션 엔트리가 위치하고 해당 파티션은 63번 섹터(논리적 섹터 주소)에서 시작하며, 물리적인 섹터 주소는 7,775,523번 섹터입니다.

 

(10) 7,775,523번 섹터는 E 드라이브의 시작위치이고, VBR이 존재합니다. 

VBR 사본의 위치

VBR이 훼손되었을 때는 VBR의 사본을 이용하여 복구할 수 있습니다.

NTFS : 해당 볼륨의 마지막 섹터에 위치

FAT32 : 해당 볼륨의 6번 섹터에 위치

 

감사합니다. 

 

"좋아요"와 "구독하기"는 힘이 됩니다.

 

참고문서 : EnCase Computer Forensics (2)