Encase Series - 6 파티션 복구 (1) 볼륨 분석

Physical disk를 조사할 때 그 첫번째 단계는 그 전체 크기를 계산해보는 것이다. 예를 들어, 250-GB의 Physical disk로부터 생성한 증거이미지로 조사를 하는데, 이 디스크에 하나의 100-GB의 파티션만 존재한다고 나타난다면, 150-GB의 공간은 계산되지 않은 것이다. 만약 이 공간이 삭제된 파티션을 포함하고 있다면, 조사관은 이 파티션을 복구하여 유용한 정보들을 추출할 수 있을 것이다.

 

(1) 볼륨 분석 (Volume Analysis) – Volume Layout 파악

 

0.     우선 MBR을 찾은 다음 partition의 합이 맞는지 점검

(숨어있는 파티션 -저장되지 않은 파티션- 이 있는지 확인하는 절차이다.)

// MBR : 적색으로 표시된 Sector

MBR은 Master Boot Record의 약자로, Hard drive의 첫 번째 Physical sector (sector 0)로서, 512 bytes의 크기를 가진다.

Executable Code (Active Partition의 Volume Boot Record를 위치시키고 로드함), 에러 메시지, 마스터 파티션 테이블과 마지막의 55h AAh의 Signature로 이루어진다.

 

 

// MBR의 510, 511번째 byte가 55 AA라는 것을 확인

 

// 위의 분석 결과, 파티션 크기의 합과 전체 크기가 불일치.
(안 쓰는 공간이 있거나 기존 사용 한 후 삭제한 파티션이 있는 경우,
혹은 파티션 테이블이 깨졌거나 예전에 포맷하고 남은 영역으로 의심할 수 있다.)

 

1.    Partition Table 해석 (Entry size : 16 bytes)

 

-      Partition Table Layout

 

                      // Bootable Flag : Active (1 byte, 80 = YES, 00 = NO)

                        Starting CHS address (3 bytes, 단위 : sector)

                        Partition type (1 byte)

                        Ending CHS address (3 bytes, 단위 : sector)

                        Starting LEA Address : Relative Sector offset (4 bytes, 단위 : sector)

                        Size in Sector : Total Sectors of partition (4 bytes)

 

 

-      Bookmark 기능 : 데이터를 분석하다가 나중에도 다시 보아야 할 데이터를 표시해두는 기능인데,  이 과정 중에 데이터를 해석하게 할 수 있다.

 

            // MBR의 Signature 앞 64byte가 바로 Partition Table이다.

여기에서 Bookmark는 마우스 오른쪽 버튼 클릭 -> Bookmark Data

 

// Encase의 기본 템플릿 중 Windows - Partition Entry를 선택하면 분석결과가 Bookmark된다.
(Data Filetype : Partition Entry)

2.    Partition 위치 확인

 

// Size값을 통해 Partition 위치 확인

 

3.    첫 번째 파티션 확인

-      NTFS 가 시작하는 곳은 MBR로부터 63 sector만큼 떨어져 있는 곳이다.

(File System은 MBR로부터 63 sector 떨어진 곳에 위치한다.)

 

// Ctrl + G (Go to Sector : 63)

           // VBR에서 File System Signature 확인 (OEM String : NTFS)

VBR은 Volume Boot Record의 약자로서, 각 File System마다 맨 앞의 Sector에 위치하여 파티션의 크기(VBR의 Sector Offset 40에 위치하며, Little Endian으로 저장되어 있으므로 우클릭 후 디코딩하여 확인가능) 등의 정보가 들어있다. MBR의 Partition Table에 저장된 파티션 크기 정보보다 VBR에 저장되어 있는 파티션 크기 정보가 1 sector 모자라는 것을 확인할 수 있는데, 이는 VBR의 백업본을 해당 파티션의 마지막 섹터에 보존하는 NTFS의 포맷 특성으로부터 비롯된다.

4.    다음 파티션 확인

-       Ext DOS가 시작하는 곳은 NTFS 파티션의 Size 이후이다.

NTFS 파티션이 10,233,405 라고 사용한다고 하였으나 Sector 가 0번으로 시작하므로 새로운 파티션은 10,233,405부터 사용되는 것이다.

 

// Ctrl + G (Go to Sector : 10233405)

 

-      해당 파티션이 Primary Partition인 경우 이 섹터는 VBR이 위치해야하고, 해당 파티션이 Extended Partition인 경우 MBR이 아닌 보통의 Boot Record가 확인되어야 하는데 (Extended Partition의 경우, MBR의 Partition Table에 Entry로 등록되지 않으므로 별도의 Boot Record를 지니게 된다.) Signature 55 AA를 제외한 나머지 부분은 모두 빈 공간으로 나타나 있음을 볼 수 있다. 원래 BR에는 Bootable Partition이 아닌 경우, Boot Code는 제외하더라도 자기 파티션의 시작 위치와 다음 파티션의 BR 시작 위치를 기록하는 Partition Table이 존재하여야 하나, 모두 빈 공간으로서 0 으로 채워져 있음은 해당 BR이 깨졌음을 의미한다.

 

 

-      해당 섹터로부터 63 sector 떨어진 곳에 파일시스템의 Signature가 존재하는 것으로 보아, Extended Parition이며, 해당 섹터는 Boot Record이며 Partition Table이 깨져있었음을 확인할 수 있다.

 이 때, MBR의 Partition Table을 분석한 파일시스템과 해당 파일시스템의 VBR OEM String Signature가 불일치하는 경우, 의심스러우므로 다시 확인해보아야 한다.