MBR(MasterBootRecord)
- Disk의 첫 번째 섹터(섹터 0)
- 시스템 부팅 시 가장 먼저 읽히는 중요한 데이터
- 일반적으로 HDD의 첫 512Byte를 차지
- 디스크 파티션 정보와 부트 코드가 포함
- Boot Code 446 bytes
- Partition Table 64 bytes
- Magic number 2 bytes(0x55AA)
섹터 0 마지막 부분인데 55 AA 시그니처 제외부터 파티션 4(빨강), 파티션 3(노랑) . . 파티션1(보라) 순서이다.
각 위치마다 의미하는 값이 있는데
파티션 1 - 00 02 03 00 0C FE 3F 0B 80 00 00 00 00 08 03 00
1/ 3/ 1/ 3/ 4/ 4로 끊어서 봐야하며
부팅 플레그/ 시작 CHS/ 파티션 유형/ 종료 CHS/ 파티션 시작/ 파티션 크기
00 – 부팅 X,
0C – FAT32
80 00 00 00 – 128 섹터 시작
00 08 03 00 – 198,656 Sector 의미가 있다.
시험 시 FTK Imager에서 봐도 되지만 내가 알고있다는 표현을 할거면 저 근거로 적는 것도 좋아보인다.
* MBR를 구분하는 가장 쉬운 방법은 뒤에 0x55AA를 확인하는 것 VBR일 수도있다.
VBR(Volume Boot Record)
- 각 파티션의 시작 섹터에 위치하여 해당 파티션의 파일 시스템 정보 제공한다.
- NTFS 파티션의 VBR에는 'NTFS' 시그니처와 부팅 코드, 파일 시스템 관련 정보가 포함되어 있다.
- 이 섹터의 마지막에도 0x55AA가 있다.
- ★ USB의 경우는 파티션을 나누지 않은 경우 VBR부터 시작한다.
VBR vs PBR(Partition Boot Record)
- 사실상 별 차이 없고 같은 의미로 쓰이는 거 같다.
'디지털포렌식2급전문가' 카테고리의 다른 글
| [디지털포렌식전문가 2급_실기] 주요 레지스트리 확인 (0) | 2024.11.10 |
|---|---|
| [디지털포렌식전문가 2급_실기] 메모장 (0) | 2024.11.03 |
| [디지털포렌식전문가 2급_실기] 실기 준비(쓰기방지, 이미지 생성) (0) | 2024.11.02 |
| [디지털포렌식전문가 2급_실기] 디지털 포렌식 압수 수색 절차 (2) | 2024.10.29 |
| [디지털포렌식전문가 2급_실기] 자동실행 방지 (0) | 2024.10.23 |