티스토리 뷰
다중 파티션으로 구성되어 있다. 다 열리는걸 보니 어디가 망가진건 아닌 것 같다.
맨 밑에 unpartitioned space는 말그대로 아직 파티션이 생성되지 않은 공간.slack이라고 한다.
이번에도 MBR을 보면
파티션 정보가 들어있는데
파티션이 여러 개로 구성되어 있다.
하나씩 확인해 보자.
[파티션1]
00
- 0x00으로 부팅 불가능 상태
04 01 00
- CHS 필요X 정보
07
- NTFS 파일 시스템
03 20 32
- CHS 필요X 정보
80 00 00 00
- LBR 시작 주소(파티션 섹터는 0x80 = 128섹터에 위치해 있다.)
00 90 01 00
- 파티션의 총 섹터 개수(0x019000 = 102400개)
총 용량 = 102400*512 = 52428800byte
[파티션2]
00
- 0x00으로 부팅 불가능
04 01 32
- CHS 필요x
07
- NTFS 파일 시스템
03 20 64
- CHS 필요X
80 90 01 00
- LBR 시작 주소(파티션 섹터는 0x019080 = 120528섹터에 위치해 있다.
- 사실 이 위치는 파티션1의 바로 다음 위치이기 때문에 파티션1의 섹터위치+크키이다.)
00 90 01 00
- 파티션의 총 섹터 개수(0ㅌ019000 = 102400개)
총 용량 = 102400*512 = 52428800byte
[파티션3]
00
- 0x00으로 부팅 불가능
04 01 64
- CHS 필요X
07
- NTFS 파일 시스템
03 20 96
- CHS 필요X
80 20 03 00
- LBR 시작 주소(0x032080 = 204928섹터)
00 90 01 00
- 파티션의 총 색터 개수 (00 01 90 00 = 102400개)
총 용량 = 102400 x 512 = 52428800byte
[파티션4]
00
- 부팅 불가능
04 01 96
- 필요X
05
- MS_extended
03 60 FE
- 필요X
80 B0 04 00
- LBA(VBR) 시작 주소 (00 04 B0 80 = 307328섹터)
00 40 0B 00
- 파티션의 총 색터 개수 (00 40 0B 00 = 4197120개)
총 용량 = 4197120 x 512 = 2148925440byte
파티션을 다 찾았다.
그런데 파티션4의 내용이 이상하다.
아무것도 없다.
백업섹터에도 아무것도 없다.
사실 다중 파티션의 경우에는 확장 파티션의 모양이 특이하다.
이런 모양으로 파티션이 구분된다.
파티션4 인줄알았지만 다른 다중파티션을 알려주는 포인터 같은 존재였다.
307328섹터를 다시보면 파티션이 2개있다.
이 파티션도 확인해보자.
[파티션4-1]
00
- 부팅 불가능
08 01 96
- 필요X
07
- NTFS 파일 시스템
07 20 C8
- 필요X
80 00 00 00
- LBA(VBR) 시작 주소 (00 00 00 80 = 128섹터. 파티션4의 섹터307328+128을 해야 한다. 307456 섹터)
00 90 01 00
- 파티션의 총 색터 개수 (00 01 90 00 = 102400개)
총 용량 = 102400 x 512 = 52428800byte
[파티션4-2]
00
- 파티션 부트 플래그 (0x80 : 부팅 가능, 0x00 : 부팅 불가능)
08 01 C8
- CHS 시작 주소
05
- 확장 파티션
0B 60 FC
- 3byte CHS 마지막 주소
80 90 01 00
- LBA(VBR) 시작 주소 (00 01 90 80 = 102528섹터)
80 A0 09 00
- 파티션의 총 색터 개수 (00 09 A0 80 = 630912개)
총 용량 = 630912 x 512 = 323026944byte
파티션4-2의 위치 409856섹터를 보면
또 확장 파티션인 것 같다.
하나밖에 없다. 한번 더하자.
[파티션4-2-1]
00
- 파티션 부트 플래그 (0x80 : 부팅 가능, 0x00 : 부팅 불가능)
0C 01 C8
- CHS 시작 주소
07
- NTFS 파일 시스템
0B 60 FC
- CHS 마지막 주소
80 00 00 00
- LBA(VBR) 시작 주소 (00 00 00 80 = 128섹터)
00 A0 09 00
- 파티션의 총 색터 개수 (00 09 A0 00 = 630784개)
총 용량 = 630784 x 512 = 322961408byte
- 파티션 6 VBR은 409856 섹터 + 128 섹터에 위치한다. 즉, 409984 섹터이다.
다중 파티션의 위치와 모양에 대해 공부해 봤다.
'포렌식' 카테고리의 다른 글
| 스테가노그래피 복호화 사이트 (0) | 2020.11.01 |
|---|---|
| 파일 시스템 (0) | 2020.10.12 |
| 파일 시스템 포렌식 파티션 복구 (0) | 2020.09.25 |
| 윈도우 포렌식 레지스트리 분석 (0) | 2020.09.21 |
| 메모리 포렌식 volatility (0) | 2020.09.17 |
- Total
- Today
- Yesterday
- automotive ethernet
- SVM
- 논문 잘 쓰는법
- Ethernet
- automotive
- HTML
- json2html
- cuckoo
- AVB
- 딥러닝
- AVTP
- PCA
- 머신러닝
- porks
- 케라스
- many-to-one
- 단순선형회귀
- 이상탐지
- SOME/IP
- 로지스틱회귀
- AE
- Python
- many-to-many
- 차량 네트워크
- 회귀
- CAN-FD
- 크로스 엔트로피
- one-to-many
- problem statement
- 차량용 이더넷
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |