- 볼륨 & 파티션
● 파티션 : 연속된 저장공간을 하나 이상의 논리적으로 나누어 사용할 수 있도록 분할한 공간
● 볼륨 : 파일 시스템으로 포맷된 디스크 상의 저장 영역을 의미. OS나 응용프로그램 등에서 이용할 수 있는 저장공간, 섹터들의 집합!
※ 파티션과 볼륨의 차이
그림 1) 볼륨 & 파티션 차이
볼륨과 파티션은 같은 개념으로도 사용하지만 엄밀히 말하자면, 볼륨은 연속된 공간이 아니어도 하나 이상의 저장 공간을 부르는 것이고 파티션은 연속되어 있는 볼륨 섹터들의 집합을 말한다.
※ 일관성 검사 : 파티션을 제외한 영역에 증거가 존재하는지 조사하는 기능을 말함
- MBR(Master Boot Record)
512byte(1Sector) 크기의 구조체로 부팅을 하기 위해 가장 먼저 읽히는 곳이다.
해당 구조는 아래 그림과 같다.
그림 2) MBR 구조
- MBR 구조
Offset |
설명 |
크기 |
000h |
부트코드 |
446 Bytes |
1BEh |
파티션 엔트리 1 |
16 Bytes |
1CEh |
파티션 엔트리 2 |
16 Bytes |
1DEh |
파티션 엔트리 3 |
16 Bytes |
1EEh |
파티션 엔트리 4 |
16 Bytes |
1FEh |
시그니처( 55h AAh ) |
2 Bytes |
표 1) MBR 구조
- 파티션 테이블 엔트리 구조(MBR의 부분)
Offset |
설명 |
크기 |
00h |
파티션의 상태(00h=Inactive, 80h=Active) |
1 Bytes |
01h |
파티션의 시작 - Head |
1 Bytes |
02h |
파티션의 시작 - Cylinder/Sector |
1 Word |
04h |
파티션의 타입 |
1 Bytes |
05h |
파티션의 끝 - Head |
1 Bytes |
06h |
파티션의 끝 - Cylinder/Sector |
1 Word |
08h |
MBR과 해당 파티션 섹터 사이의 섹터 수(시작위치) |
1 Double Word |
0Ch |
해당 파티션의 섹터 수 |
1 Double Word |
표 2) MBR의 파티션 테이블 엔트리 구조
'Computer > #Go2 포렌식' 카테고리의 다른 글
| USB artifacts (0) | 2014.08.14 |
|---|---|
| File System #3 (0) | 2014.01.14 |
| File System #1 (0) | 2013.10.28 |
| Memory 분석 (0) | 2013.10.10 |
| Live Response (0) | 2013.10.08 |