오늘은 하드디스크의 구조, MBR에 대해서 공부 해볼것이다.(참고 : Start! 디스크포렌식)
1. 하드디스크의 구조
2. MBR
1. 하드디스크의 구조
하드디스크는 크게 6가지로 구성된다.
1. 전원 커넥터 : 전원을 공급하는 단자
2. 데이터 커넥터 : 데이터를 전송하는 단자
3. 헤드 : 데이터 읽는 역할
4. 액츄에이터암 : 헤드를 데이터가 있는 위치로 이동
5. 플래터 : 데이터 저장공간
6. 스핀들 : 플래터를 돌려주는 역할
플래터 단면은 아래 사진에서 확인할 수 있다.
트랙, 섹터, 트랙 섹터, 클러스터가 있다.
트랙 : 섹터단위의 모음이며, 원심 전체가 트랙이다.
섹터 : 물리적인 최소단위(512bytes)
트랙 섹터 : 같은 구역에 있는 섹터집합
클러스터 : 섹터 단위를 묶어 데이터의 입출력 단위를 정하는 것 , 기본적으로 4096bytes(4kb)이다.
섹터 입출력은 시간 소모가 커서 클러스터를 이용한다.
[슬랙공간]
슬랙공간은 논리적인 크기와 물리적인 크기의 차이에 의해 낭비되는 공간 이다.(사용하고 남은 공간)
슬랙공간 : 램 슬랙, 파일 슬랙, 볼륨 슬랙, 파일시스템 슬랙
2. MBR
MBR은 부팅에 필요한 파티션 정보가 있다.
따라서 손상되면 부팅이 불가능 하다.
MBR(리틀엔디언) : 512bytes
MBR의 구성
1. Boot code : 부팅과 관련된 정보를 담고 있다.(446bytes)
2. Partition Table : 파티션 정보를 담는다.(4개의 파티션정보)(64bytes)
3. Signature : MBR 끝을 알리는 시그니처 : [55 AA](2bytes)
빨간색은 boot code, 초록색은 partition table, 마지막 55 AA는 시그니처이다.
1) 파티션 테이블
파티션 테이블은 64바이트로 4개가 있어 하나의 파티션 정보당 16바이트이다.
위는 파티션 정보를 나눈것이다.
이제 파티션테이블 각각의 오프셋이 의미하는 것을 확인해보자.
1. 빨간색부분은 Boot Flag를 나타낸다. 0x00은 부팅 불가능, 0x08이면 부팅가능이라는 뜻이다.
2. 주황색부분은 CHS 주소지정방식의 시작정보이다.(주소지정방식 설명 : https://ljhblog.tistory.com/46)
3. 노란색부분은 파일시스템 타입이다. (파티션 타입정보 : https://en.wikipedia.org/wiki/Partition_type)
4. 연두색부분은 CHS 주소지정방식의 끝나는 위치정보이다.
5. 파란색부분은 LBA 주소지정방식의 파티션 시작주소이다.
6. 보라색부분은 섹터개수에 대한 정보이다.
'Forensics' 카테고리의 다른 글
| UMDCTF(writeup) - HHJ (0) | 2022.03.07 |
|---|---|
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 3,4강] - Web log (0) | 2022.03.04 |
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 2강] - Linkfile analyis (0) | 2022.03.04 |
| [대회 문제 풀이로 이해하는 디스크 포렌식 분석 1강] - ZipBomb 분석 문제유형 (0) | 2022.03.04 |
| FAT32 파티션 복구(Forensics) (0) | 2021.09.12 |