240514 개론 스터디

Chapter 02 데이터 표현과 디스크 구성

 

제 3절 MBR

 

하드디스크의 논리적인 구조

 

(1) MBR 구조 : 부팅 에 필요한 Boot Code와 파티션 정보를 가지고 있다.

• Boot Code : 부팅과 관련된 코드를 담고 있는 영역이며, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같으며, 446byte의 크기를 가진다.

• Partition Table : 실제 파티션 정보를 담고 있는 영역으로 총 4개의 파티션 정보를 저장할 수 있다. 64byte의 크기로 이뤄져 있다.

• Signature : 해당 MBR의 끝을 알리는 시그니처 정보이다. ［55 AA］로 끝나며, 총 2byte로 이뤄져 있다.

 

(2) 파티션 테이블 : 부팅 에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가지고 있다.

• 0-0 : Boot Flag를 나타낸다. 0x00이면 부팅이 불가능하며. 0x80이 면 부팅이 가능한 파티션이다.

• 1-3：CHS 주소지정방식의 시작위치 정보이다. [00 01 01]이다.

• 4-4 : 해당 파티션의 파일시스템 타입을 알 수 있다. 0x07이면 NTFS를 나타내며 , OxOB이면 FAT32이 다.

• 5-7 : CHS 주소지정방식의 끝나는 위치 정보이다. [FF FF FE] 이다.

• 8-11 : LBA 주소지정방식에 의한 파티션 시작주소이다. [00 00 00 3F이다.

• 12-15 : 해당 파티션의 총 섹터 개수에 대한 정보를 담고 있다. [3A 38 60 2F] 이다.

 

Chapter 03 디스크 복구

 

제 1절 파티션 복구

 

⑴ FAT32 파티션 복구

 

- 파티션 상태 확인

FTK Imager의 File > Add Evidence Item를 선택한다. 다음으로 Image File을 선택하고 실습파일이 저장된 경로 FAT_Partition\FAT32 Partition Recovery.001 을 선택하여 연다.

Evidence Tree의 파티션 정보가 Unrecognized 로 나오는 것으로 보아 파티션 정보가 손상된 것을 확인할 수 있다.

 

- 디스크 수정 작업

이미지를 불러오기 위해서 HxD의 메뉴에서 Extras > Open disk images를 선택하고, 실습파일이 저장된 경로를  FAT_PartitionWFAT32 Partition Recovery.001 을 선택하여 연다. Specify the sector size는 512byte 로 한다.

파티션 테이블정보를 토대로 분석하면 시작주소는 [3F 00 00 00]인 것을 알 수 있다.