MBR(Master Boot Record)

미뤄 놨던 디스크 포렌식을 시작하겠습니다.

지금이야 SSD(Solid State Drive) 대세이지만 얼마전까지만 해도 주류는 HDD(Hard Disk Drive) 대세 였지요!

또한 제약 사항이 많은 MBR보다는 UEFI 방식이 많이 사용되고 있습니다.

일단 HDD 부터 시작하도록 하겠습니다.

 

1. HDD 구조

HDD 구조

 1.1. Sector: HDD의 가장 작은 단위, 기본적으로 1섹터는 512byte

 1.2. Cluster: Sector를 효율적으로 관리하기 위한 논리적인 단위. 통상 8개의 Sector가 1개 Cluster를 구성

 1.3. 스핀들모터의 외전력에 따라서 5,400rpm과 7,200rpm으로 구별(rpm:초당 회전수)

 1.4. 플래터: Data가 저장되는 원형 모양의 원판

 

2. MBR(Master Boot Record)

 2.1. MBR: 0번 Sector, boot Code(446byte) + Partition Tabel(64byte) + signature(2byte) = 512byte

MBR 구조

 2.2. 부팅 순서

  2.2.1. Bios가 Hareware 자원 체크

  2.2.2. Bios에 정의된 부팅 순서(cdrom, hdd, network 등)에 따라 MBR를 검색

  2.2.3. 검색된 MBR 중 부팅이 가능한 영역을 찾아서 BR로 이동

  2.2.4. BR에 정의된 운영체제로 Booting 진행

 

3. Partition 구조

 3.1. Partition: 물리적인 Disk를 논리적으로 분할하는 단위

  3.1.1. MBR(0번 sector)에 위치한 64byte(1개의 partition정보는 16byte, 따라서 Primary Partiton을 4개만 생성 가능) 정보

  3.1.2. 16byte 정보에 boot flag(부팅가능여부), partition Type, Start LBA Address와 Partiton Size (Sector 갯수) 정보기록

  3.1.3. boot flag가 0x00이면 부팅불가, 0x80이면 부팅 가능

  3.1.4. 현재 CHS 정보는 사용되지 않음

  3.1.5. Partition Type:

   3.1.5.1. 0x07: NTFS

   3.1.5.2. 0x0C: FAT32

   3.1.5.3. 0x00: Eempy

   3.1.5.4. 0x05: Extend Partiton

 

Partiton 영역

4. Partition 분석

 4.1. Windows OS의 경우 Little Endian 방식임으로 선입후출 방식

 4.2. 따라서 16진수 Code 값을 거꾸로 읽어야함. 1byte씩 끊어서

  4.2.1. 80 00 00 00 -> 00 00 00 80

Partition 분석

 

	Partiton 1	Partiton 2	비고
Booting 가능여부
Start CHS
Partiton Type
End CHS
Start LBA
Total Sec

 

오늘은 Disk Forensic의 첫날이었습니다.

내일부터는 파일 복구라는 재밌는 시간이 기다리고 있습니다.

 

Have a nice day~!