다중 파티션
파티션 테이블에는 총 4개의 파티션 정보가 할당되는데, 파티션이 5개 이상인 경우에는 다중 파티션을 사용합니다.
forensic-proof.com 사이트에서 참고한 다중 파티션의 구조입니다.
마지막 4번째 파티션을 확장파티션으로 할당하고, 확장 파티션에서 다시 확장 파티션을 할당한다는 개념입니다.
다중 파티션이 할당된 이미지 파일을 FTK Imager로 열어보았습니다. 총 5개의 파티션이 할당되어 있습니다.
HxD로 이미지 파일을 열어 파티션 테이블 값을 분석해 보겠습니다.
파티션 테이블을 확인해보면 4번째 파티션의 정보가 있는 부분에 0x05로 확장 파티션을 나타내는 플래그가 있습니다.
확장 파티션을 나타내는 4번째 파티션의 시작 주소가 00 04 B0 80(리틀 엔디안)을 10진수로 변환(307,328)한 주소로 이동하여 보겠습니다.
MBR 구조를 보면 부트 코드 부분은 0으로 덮여있습니다.
파티션 테이블 부분에는 2개의 파티션이 할당되어 있습니다.
1번 파티션은 0x07 타입으로 NTFS 파일 시스템으로 확인되고, 2번 파티션은 0x05 타입으로 다시 확장 파티션을 나타내고 있습니다.
307328 섹터의 1번 파티션은 307328 + 128 (00 00 00 08을 10진수로 변환) 주소에 존재합니다.
2번 파티션은 307328 + 102528 (00 01 90 80) 주소로 이동해야 합니다. 이 주소(409856)로 이동해보겠습니다.
마찬가지로 부트 코드 영역은 0으로 덮여있고, 파티션 테이블에는 파티션 1개가 존재합니다.
409856 + 128 (00 00 00 08을 10진수로 변환) 주소에 5번째 파티션의 정보를 확인할 수 있습니다.
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] FAT32 파일 시스템 (0) | 2020.12.03 |
|---|---|
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
| [디스크 포렌식] NTFS 파티션 복구 (1) | 2020.12.02 |
| [디스크 포렌식] FAT32 파티션 복구 (0) | 2020.12.02 |
| [디스크 포렌식] MBR (Master Boot Record) 구조 (0) | 2020.12.01 |
