[ccibomb@CRG]# _bykim

Case ② MBR의 Partition Table 일부 및 확장 파티션의 BR이 손상된 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

-      손상여부 확인

a.       Disk 전체 섹터와 인식된 파티션의 섹터 크기 확인

전체 섹터 크기      : 229824 sector

첫 번째 파티션 크기 : 128457 sector

b.       전체 섹터 중에서 거의 반만 가진 하나의 파티션만을 가졌다고 하기는 의심스럽다. 첫 번째 파티션 후에도 새로운 파티션이 있는지 찾아봐야 한다.

-      인식 오류 발생 원인

MBR 에는 파티션 하나만 기록이 되어 있었으나, Unused Disk Space가 약 52MB로 나타나, 한 개의 파티션이 더 있을 것을 의심. 첫 번째 파티션의 끝 지점을 확인하였더니 다음 섹터(128520)의 마지막 부분에 55 AA의 Signature가 확인됨. 그로부터 63섹터 떨어진 128583 섹터를 확인하였더니 VBR로 판단됨. 즉, MBR 손상 및 확장 파티션의 BR 손상.

-      복원 과정

a.       첫 번째 파티션은 NTFS임을 확인(Signature : OEM String – NTFS)

b.       마지막 섹터에 VBR 백업본 확인

c.       다음 섹터를 확인

c-1.  MBR 정보 확인한 두 번째 파티션 시작위치 : Starting LBA 값 08 F6 01 00 와 일치

c-2. 새로운 파티션이 시작되어야 함.

MBR확인 결과 2번째 파티션 시작주소(128520 섹터)

d.       마지막 2 Bytes에 “55 AA” Signature 뿐으로, OEM String없음

d-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System의 Meta Data 등이 삭제된 것임

d-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임

e.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인 :

// OEM String 확인, FAT 확인(File System의 Meta Data) : VBR

Extended Partition임, 즉 BR 정보가 조작된 것임

f.        2번째 파티션의 시작지점(VBR)인 128583sector에서 새로운 파티션 추가(Add Partition)

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성

-      복원 과정

a.       MBR 정보 확인하여 두 번째 파티션 시작위치(Starting LBA 값 08 F6 01 00 : 128454 sector)로 이동

b.        마지막 2 Bytes에 “55 AA” Signature 뿐으로, OEM String이 없음

b-1.  2번째 파티션이 Primary partition인 경우, 이 섹터는 VBR로서 OEM String이 삭제되고 File System의 Meta Data 등이 삭제된 것임

b-2.  2번째 파티션이 Extended partition인 경우, 이 섹터는 BR로서 이 파티션의 시작위치(다음 Container가 존재하는 경우, 다음 Container의 시작위치도 존재)를 가리키는 Partition Table이 삭제된 것임 

c.f) Partition Layout (Primary Partition 2개, Extended Partition 2개인 경우)

c.       Extended Partition 인지 여부를 알기 위해 63 sector 이후 (125883 sector) 확인

           // OEM String 이 MSDOS5.0이므로 파일 시스템의 유형은 FAT32로 확인

d.        2번째 파티션의 시작지점(VBR)인 128583sector에서 새로운 파티션 추가(Add Partition)

//  확장 파티션이므로 ‘Unused Sectors before VBR = 63’

-      파티션 복원 완료 : 기존의 C 드라이브 외에 추가로 D 드라이브 생성

Case ① Boot Record의 VBR위치 정보 손상된 경우

-      복원 전 MBR : Partition Table Layout

-      하드 전체 Layout 

-      하드디스크 정보 (229,824 Sectors, 112.2MB)

-      손상여부 확인

a.       Unused Disk Area의 크기 확인

// 약 50 MB로 나타나, 파티션이 삭제되거나 인식되지 않았을 가능성 있음

b.       MBR 확인

Partition Table 확인 결과 총 2개의 Partition 정보가 수록되어 있으나, Encase에서는  C 드라이브 1개만 인식하고 있음

// Partition Table 해석 : 총 229824 섹터 중 첫 번째 파티션은 128457개의 섹터의 용량 차지, 시작 LBA는 63섹터. 두 번째 파티션은 96390섹터의 용량을 차지, 시작 LBA는 128458 섹터.

-      인식 오류 발생 원인

두 파티션 모두 Master Boot Record의 Partition Table에는 제대로 정보가 나타나 있었고, 첫 번째 파티션 (Primary Partition)은 VBR 또한 이상 없었지만, 두 번째 파티션의 경우 Extended Partition 으로 보이는데, BR에 VBR 위치 정보가 기록되어 있지 않아(손상) 인식이 되지 않음.