다중 파티션 이해

Digital Forensics

해당 포스트는 Start up 디스크 포렌식의 다중파티션의 이해에 대한 내용의 실습입니다.

---

다중 파티션의 구조

EX Partition

HxD를 통해 테이블 정보를 분석하면 4개의 파티션 정보가 들어가있는 것을 볼 수 있다. 

하지만 여기서는 아래 플래그값을 통해 확장 파티션이 존재한다고 알려준다.

확장 파티션 타입

그럼 이 나머지 확장 파티션은 FTK Imager를 통해 확인할 수 있다.

FTK Imager

그럼 마지막 확장 파티션의 시작 주소로 이동하여 또 다른 MBR 구조를 확인 할 수 있다.

확장 파티션 시작주소는 아래사진을 10진수로 바꾼 값이다.

10진수로 바꿔보면 307328이 나온다. 섹터를 거기로 이동해보면 2개의 파티션 정보를 볼 수 있었다.

파티션 타입을 확인해보면 첫번쨰는 0x07로 NTFS인것으로 보이지만

두번째는 타입이 0x05로 확장 파티션임을 가르키고 있다.

여기서 해당 파티션의 시작위치에 가기 위해서는 현재 위치한 주소에 시작주소를 더해주어야 한다.

예를 들어 확장 파티션의 첫번째 즉 4번쨰 파티션 시작위치로 가려면 307328 + 80 00 00 00(128) 로 이동해주면 된다.

5번째 파티션도 마찬가지이다. 30728 + 80 90 01 00(102,528)로 이동하면 5번째 파티션 정보를 가지고 있는 서브 MBR을 만나게 된다.

5번째 파티션에서도 현재 위치한 주소에 파티션 시작주소를 더해주면 5번째 파티션의 BR을 확인할 수 있다.