Case ② MBR의 Partition Table 일부 및 확장 파티션의 BR이 손상된 경우
- 복원 전 MBR : Partition Table Layout
|
Bootable Flag |
Starting CHS |
Partition Type |
Ending CHS |
Starting LBA |
Size in sector |
|
00 |
01 01 00 |
07 |
FE 3F 07 |
3F 00 00 00 |
C9 F5 01 00 |
- 하드 전체 Layout
|
MBR |
Primary 1 |
BR |
Extended 1 |
- 하드디스크 정보 (229,824 Sectors, 112.2MB)
|
Type |
Name |
Status |
Start |
Stop |
Relative |
size |
|
07 |
NTFS |
00 |
000101 |
073FFE |
63 |
128457 |
|
05 |
FAT32 |
00 |
080100 |
0D3FFE |
128520 |
96390 |
- 손상여부 확인
a. Disk 전체 섹터와 인식된 파티션의 섹터 크기 확인
전체 섹터 크기 : 229824 sector
첫 번째 파티션 크기 : 128457 sector
b. 전체 섹터 중에서 거의 반만 가진 하나의 파티션만을 가졌다고 하기는 의심스럽다. 첫 번째 파티션 후에도 새로운 파티션이 있는지 찾아봐야 한다.
- 인식 오류 발생 원인
MBR 에는 파티션 하나만 기록이 되어 있었으나, Unused Disk Space가 약 52MB로 나타나, 한 개의 파티션이 더 있을 것을 의심. 첫 번째 파티션의 끝 지점을 확인하였더니 다음 섹터(128520)의 마지막 부분에 55 AA의 Signature가 확인됨. 그로부터 63섹터 떨어진 128583 섹터를 확인하였더니 VBR로 판단됨. 즉, MBR 손상 및 확장 파티션의 BR 손상.
- 복원 과정
a. 첫 번째 파티션은 NTFS임을 확인(Signature : OEM String – NTFS)
b. 마지막 섹터에 VBR 백업본 확인
c. 다음 섹터를 확인
c-1. MBR 정보 확인한 두 번째 파티션 시작위치 : Starting LBA 값 08 F6 01 00 와 일치
c-2. 새로운 파티션이 시작되어야 함.
MBR확인 결과 2번째 파티션 시작주소(128520 섹터)
d. 마지막 2 Bytes에 “55 AA” Signature 뿐으로, OEM String없음
d-1. 2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System의 Meta Data 등이 삭제된 것임
d-2. 2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임
e. Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인 :
// OEM String 확인, FAT 확인(File System의 Meta Data) : VBR
Extended Partition임, 즉 BR 정보가 조작된 것임
f. 2번째 파티션의 시작지점(VBR)인 128583sector에서 새로운 파티션 추가(Add Partition)
- 파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성
'Digital Forensics > EnCase' 카테고리의 다른 글
| Encase Series - 6 파티션 복구 (3) 실습 - Case 4 (0) | 2010.11.25 |
|---|---|
| Encase Series - 6 파티션 복구 (3) 실습 - Case 3 (0) | 2010.11.25 |
| Encase Series - 6 파티션 복구 (3) 실습 - Case 1 (0) | 2010.05.12 |
| Encase Series - 6 파티션 복구 (3) 실습 - Case 1 (0) | 2010.05.12 |
| Encase Series - 5 Encase Concepts (0) | 2010.05.10 |
