MBR 구조
LBA (Logical Block Addressing) 주소지정방식의 실제 하드디스크 구조를 알아보겠습니다.
LBA 주소지정방식은 섹터 단위로 차례대로 주소를 지정하기 때문에 0번 섹터에 MBR이 오게 되며, 이후 차례대로 파티션 정보가 들어오게 됩니다.
MBR에는 부팅에 필요한 Boot Code와 파티션 정보를 가지고 있어 시스템의 MBR이 손상되면 부팅이 불가능하게 됩니다. MBR은 총 512byte로 구성되어 있고, 크게 3가지 영역으로 구분됩니다.
부트 코드 (446byte)
부팅과 관련된 코드를 담고 있는 영역으로, 부팅 가능한 시스템에 대한 Boot Code 영역은 모두 같습니다.
파티션 테이블 (64byte)
부팅에 필요한 정보가 있는 파티션으로 점프시켜 주기 위한 정보를 가지고 있습니다. 총 4개의 파티션 정보를 저장할 수 있으며, 각각의 파티션 정보는 다시 16byte로 이루어져 있습니다.
0 : Boot Flag를 나타냅니다. 0x00이면 부팅 불가능, 0x80이면 부팅 가능한 파티션입니다.
1-3 : CHS 주소지정방식의 시작위치 정보입니다.
4 : 해당 파티션의 파일 시스템 타입을 나타냅니다. 0x07이면 NTFS, 0x0B이면 FAT32, 0x05면 확장 파티션을 나타냅니다.
5-7 : CHS 주소지정방식의 종료위치 정보입니다.
8-11 : LBA 주소지정방식에 의한 파티션 시작주소입니다.
12-15 : 해당 파티션의 총 섹터 개수에 대한 정보를 담고 있습니다.
시그니쳐 (2byte)
해당 MBR의 끝을 알리는 시그니쳐 정보로, [55 AA]로 끝납니다.
출처 : StartUp 디스크 포렌식 (이별 저)
'디지털 포렌식 (Forensic) > 디스크 포렌식 (Disk)' 카테고리의 다른 글
| [디스크 포렌식] 3.20 악성코드 감염 MBR 복구 (0) | 2020.12.02 |
|---|---|
| [디스크 포렌식] 다중 파티션의 이해 (0) | 2020.12.02 |
| [디스크 포렌식] NTFS 파티션 복구 (1) | 2020.12.02 |
| [디스크 포렌식] FAT32 파티션 복구 (0) | 2020.12.02 |
| [디스크 포렌식] 하드디스크 구조 (0) | 2020.12.01 |
