[X-Ways Forensics] 15 VBR 확인, 볼륨 시리얼 넘버 확인

VBR 확인

 

Volume Serial Number 확인 (Little Endian)

 

 

※ VBR(Volume Boot Record)

VBR은 NTFS로 포맷된 볼륨의 가장 앞 부분에 위치함

부트 섹터, NTLDR 위치정보, 추가적인 부트 코드를 저장함

VBR의 앞에는 MBR(1 sector) + Slack(62 sector 또는 2047 sector : 기본 OS 포맷시)가 있음

FAT 파티션의 예약된 영역과 유사하게

부트 섹터(Boot Sector)와 부트 코드(NTLDR Information & Boot Strap)로 구성됨

일정한 크기를 갖지 않고 클러스터 크기에 따라 가변적임

MBR(Master Boot Record)에서 부팅 가능한 파티션을 찾은 후,

해당 파티션의 VBR을 호출함

 

// 출처 : http://www.invoke-ir.com/