실습 파일 - Ex_Partition.zip 안의 Ex_Partition.001
학습 목표 - 다중 파티션의 구조 이해
우선 HxD로 파일을 연다.
드래그한 부분을 보면 4개의 파티션 정보가 모두 들어가 있는것을 확인할 수 있다.
보았을때 맨 밑 파티션 정보에서 왼쪽에서 세번째 05(0x05)는 확장파티션을 나타내는 플래그 값임을 볼 수 있다.
그런데 FTK Imager로 확인해보니 총 5개의 파티션을 가지고 있다. 마지막 5번째 파티션정보는 다른위치에 저장되어있다.
아까 봤던 0x05 즉, 확장 파티션의 시작주소로 이동하게 되면 또다른 MBR의 구조를 볼 수 있을것이다.
확장 파티션 시작 주소는 맨 마지막 파티션 정보의 7번째부터 있는 80 B0 04 00이다.
10진수 값을 확인하려면 드래그 후 왼쪽 데이터 변환기 탭을보면 10진수 값을 알려준다.
80 B0 04 00 은 10진수 값으로 307328이다. 섹터에 해당 값을 넣어서 이동하자.
서브 MBR로 활용되기 때문에 부트코드 영역이 전부 0으로 덮여있다.
첫번째 파티션은 07인걸로 보아 NTFS로 확인되는데 두번째는 05로 나타난다.
즉, 마지막 파티션에 대해서는 확장 파티션이 생성될 것으로 예측할 수 있다.
해당 MBR에서 4번째 파티션 추적을 위해서 현재 307328 + 80 00 00 00 을 더해주면 되고
5번째 파티션은 바로 밑에 80 90 01 00 을 더해주면 된다. 이는 102528 + 307328 = 409856 을 의미한다.
5번째 파티션에 도착했다. 00 0C로 시작하는 부분이 5번째 파티션 정보를 가진
서브 MBR 이다. 이제 시작위치로 가야한다. 그러면 이번엔 현재 섹터 위치에 80 00 00 00 을 더해주면 될것이다.
409856+128을 더해주면 된다. 그러면 409984이 나온다.
이런 식으로 409984로 이동하면 5번째 파티션 시작위치로 갈 수 있게된다. 이런 방식으로 다중 파티션에서 섹터 위치를 찾을 수 있다.
'9. 디지털 포렌식' 카테고리의 다른 글
| 디지털 포렌식 Sub 5 - Petya 랜섬웨어 감염 MBR 복구 (0) | 2023.12.14 |
|---|---|
| 디지털 포렌식 Sub 4 - 3.20 악성코드 감염 MBR 복구하기 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 2 - NTFS 파티션 복구하는 방법 (0) | 2023.12.14 |
| 디지털 포렌식 Sub 1 - FAT32 파티션 복구하는 방법 (0) | 2023.12.14 |
| 디지털 디스크 포렌식 - 도구 및 예제 (0) | 2023.12.14 |
