※ 해당 글에 대해 무단 재배포 및 상업적으로 사용하실 수 없습니다.
Sector
저장 장치는 데이터를 찾아가기 위해 섹터( Sector)란 구조로 주소화 시켰으며,
이 때 주소는 섹터를 최소 단위로 하며 섹터는 크기는 512 byte로 구성되어 있다.
MBR(Master Boot Record)
- 저장 장치의 첫번째 섹터는 MBR
- 파티션된 기억 장치의 첫 섹터인 512 바이트의 시동 섹터
- MBR은 3가지 정보가 있다.
= Boot Strap Code : 운영체제를 부팅 시키기 위해 부팅 파티션을 찾는 부분.
= Partition Table Entry : 파티션의 정보가 포함된 부분.
= Signature : 해당 섹터의 오류 유무를 확인하기 위한 값.(기본 값 : 0xAA55)
MBR(Master Boot Record) 구조
MBR에서 분석할 부분은 Partition Table Entry 부분으로 해당 디스크에 어떠한 파티션의 정보가 있는지를 알아낼 수 있다.
Partition Table Entry 구조
- MBR에 파티션 정보는 4개 기록
- MBR에 기록하는 파티션 정보는 주 파티션 정보이며 확장 파티션의 논리 드라이버는 기록되지 않음
Partition Table
- 파티션의 정보는 16 바이트로 구성
- 각기 정보는 아래와 같음
= Boot Flag(1 Byte) : 부팅에 사용되는 파티션일 경우 사용.
(부팅 가능 : 0x80, 부팅 불가 : 0x00)
= Starting CHS Address(3 Byte) : CHS 시작 주소. CHS 주소 방식은 더이상 사용되지
않음.
= Partition Type(1 Byte) : 파티션의 종류. 파일 시스템을 의미하며 파일 시스템의 종류는
여러 가지가 존재
(파티션 종류는 위키 백과 참조 : http://en.wikipedia.org/wiki/Partition_type)
= Ending CHS Address(3 Byte) : CHS 끝 주소. CHS 주소 방식은 더이상 사용되지 않음
= Starting LBA Address(4 Byte) : LBA 시작 주소. 실제 파티션의 시작 위치.
= Size in Sector(4 Byte) : 파티션의 총 섹터의 개수.
'Disk Forensic > File System Forensic' 카테고리의 다른 글
| FAT 구조 4 - FAT 구조 (0) | 2015.04.03 |
|---|---|
| FAT 구조 3 - FSINFO 구조 (0) | 2015.04.03 |
| FAT 구조 2 - BR 구조 (0) | 2015.03.31 |
| FAT32 구조 1 - FAT 개요 및 구조 (0) | 2015.03.26 |
| HFS+ File System 구조 - 데이터 찾아가기 (0) | 2015.03.13 |
| GPT(GUID Partition Table) 구조 (0) | 2015.03.12 |
