- NEW초롱이의 하루
- kisa
- 길은 가면, 뒤에 있다
- C언어 예술가
- Zer0 day - Zer0 day
- Information Security
- Secure-EDU
- 앙큼한유채's 일상 Story
- Library of Ezbeat (잠정 폐쇄)
- The Factory
- 안드
- 모후모후의 커뮤니티
- 공학도의 잡다한 시선
- 안드2
- IT속에 코코아
- IP주소검색(whois)
- IP주소검색(좌표포함)
- 소프트웨어 경력 관리
- 해저 케이블 지도
- MAC주소검색
- IANA
- 포트번호검색
- 자신의IP확인
- 웹페이퍼캡처
- 나의패스워드보안등급
- 웹 취약점 분석
- IT용어정리
- GitHub
- 라이브러리 모음
- 웹마당넷
- 시스템콜참고
- BCD 변환
- 보안뉴스
- 코딩도장(C, Python)
- 백준알고리즘
- 코딩테스트 연습
- 웹 사이트 테스트
- 스크립트꾸미기
- ctf대회목록
- 전자신문
- hash 크랙
- CVE
- 도메인등록
- N클라우드
- BugBountyList
- 칼리공식사이트
- CR4FTING BOX
- 아스키코드 변환
- 웹 사이트 통계 및 평가
- PDF변환
- AWS 및 클라우드 정보
- 가상화 및 서버관련
- 티오리
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 | 31 |
- centos docker
- API
- Shell script
- 프로젝트
- LEVIATHAN
- 메소드
- docker
- Java
- System
- Linux
- 안드로이드
- Tkinter
- 그라파나
- 쉘 스크립트
- synology
- nginx
- Android
- GPIO
- 클라우드
- GUI
- RaspberryPi
- 네트워크
- Python
- 라즈베리파이
- 쉘 스크립트 if문
- 리눅스
- ACL
- 쉘 스크립트 기초
- 자바
- JSP
- Today
- Total
IT창고
Extend 파티션 구조 본문
확장 파티션에 대해 알아보겠습니다.
ftk tool로 먼저 확장파티션을 확인해보면 6개의 파티션이 존재하는걸 알수있습니다.
하지만 MBR의 구조를 보면 파티션의 정보는 4개의 정보만 저장할수있습니다.
ftk tool로 확인된 파티션을 보면 4개가 아닌 2개가 더 존재합니다.
MBR의 파티션 테이블을 확인해보겠습니다.
00
04 01 00
07
03 20 32
80 00 00 00
00 90 01 00
---------------------------1번 파티션
00
04 01 32
07
03 20 64
80 90 01 00
00 90 01 00
---------------------------2번 파티션
00
04 01 64
07 NTFS파일시스템
03 20 96
80 20 03 00
00 90 01 00
---------------------------3번 파티션
00
04 01 96
05 확장파티션
03 60 FE
80 B0 04 00
00 40 0B 00
---------------------------4번 파티션
확인해보면 4번째 파티션의 파일시스템 타입이 혼자서 다른데 05는 확장파티션을 의미합니다.
확장 파티션의 구조를 보면 위와 같습니다.
4번째 확장 파티션 안에는 논리파티션이 들어가게 됩니다. 만약 5번 파티션부터 파티션을 만들려면 계속 논리파티션을 만들어가야합니다.
MBR 구조를 보면 4번 파티션의 정보까지만 있는데 5번과 6번 파티션의 시작위치를 찾기 위한 방법을 알아보겠습니다.
4번 파티션 테이블의 정보입니다.
00 부팅 불가
04 01 96
05 확장파티션
03 60 FE
80 B0 04 00 -> 4B080 -> 307328번 섹터 LBA시작위치
00 40 0B 00
4번 파티션의 시작위치인 307328번 섹터에 가보면 파티션의 시그니처가 존재합니다.
00
08 01 96
07
07 20 C8
80 00 00 00
00 90 01 00
---------------------------5번 파티션
00
08 01 C8
05
0B 60 FC
80 90 01 00
80 A0 09 00
---------------------------6번 파티션
위에서 확인한대로 4번 파티션에 5번과 6번 파티션의 정보가 존재합니다.
실제로 ftk tool에서 확인해보면 4번 파티션은 없고 3번 다음에 5번 파티션으로 이어집니다.
5번 파티션부터 알아보겠습니다.
00
08 01 96
07 NTFS
07 20 C8
80 00 00 00 80 -> 128번 섹터
00 90 01 00 -> 102400
5번 파티션의 LBA시작위치는 128번 섹터인데 1번 파티션의 LBA시작위치를 보면 128번 섹터입니다. 중복이되는데 이 경우는 현재 4번 파티션을 기준으로 생각해야만 합니다. 4번 파티션을 새로운 MBR기준점이라고 생각하고 계산해야하는데 4번 파티션의 시작위치는 307328번 섹터입니다. 307328 + 128 = 307456번 섹터가 5번 파티션의 LBA시작 위치에 해당합니다.
해당 섹터의 위치에서 파티션의 정보를 찾아볼수있습니다.
마지막으로 6번 파티션에 대해 알아보겠습니다.
00
08 01 C8
05
0B 60 FC
80 90 01 00 -> 102528번 섹터
80 A0 09 00
4번 파티션의 시작위치인 307328 + 102528 = 409856번 섹터가 LBA시작위치가 됩니다.
6번 파티션의 타입은 확장파티션입니다. 6번 파티션의 파티션테이블의 정보를 보면 파티션정보가 있는걸 확인할수있습니다.
LBA시작위치는 80 -> 128번 섹터로 409856+128 = 409984번 섹터가 6번 파티션의 정보가 있는 곳입니다.
파티션의 정보를 확인해볼수있습니다. ftk tool에서 확인된 파티션은 6번 파티션까지입니다.
파티션이 망가진것만 아니라면 파티션의 섹터 위치는 계산이 아니더라도 ftk tool에 phy sec에 나와있습니다.
'보안 > Digital forensic' 카테고리의 다른 글
| PETYA 랜섬웨어 디스크 복구 (1) | 2018.07.08 |
|---|---|
| suninatas - 포렌식 32번 Terrorist 문제풀이 (0) | 2018.07.08 |
| NTFS 파티션 복구 (0) | 2018.07.08 |
| FAT32 파일시스템 (0) | 2018.07.06 |
| FAT32 파티션 복구 (0) | 2018.07.06 |
