디지털포렌식과 친해지기

3-1) 파티션과 파티션 테이블

Previous3. 파티션과 파일시스템 복구 Next3-1.1) GPT 헤더, 파티션 Entry 복구

Last updated 5 months ago

간단한 설명을 보고 실제 실습을 통해서 이해해 보도록 합시다. 포렌식 도구가 주요한 계산이나 분석을 다 해주기 때문에 이 장에서는 도구 사용법을 위주로 살펴봅시다. 추가로 공부를 해보고자 할 경우 하단에 상세 내용을 활용하시면 됩니다.

FTK Imager 도구

HxD 도구 :

1. 기본 개념(파티션, 파티션테이블)

1-1) 파티션

저장 매체에서 구역을 나눠서 파일시스템을 저장하는 곳으로 간단히 하나의 하드디스크 또는 USB와 같은 저장매체에 두 개의 드라이브로 나누는 공간을 설정하는 것입니다.
예를 들어 하나의 하드디스크에 C 드라이브, E 드라이브로 만들 수 있게 해주는 것입니다.

1-2) MBR 파티션 테이블

MBR (Master Boot Record)
- 저장 매체의 가장 처음 0번 섹터에 위치합니다.
- FTK Imager에서 Add Evidence Item 선택 후 Phisycal Drive 후 본인 PC의 드라이브를 선택해보도록 합시다. (아무거나)
  아래와 같이 Partition 1 이 보일 경우 MBR 파티션 엔트리 구조입니다.
- View - Properties 를 선택 후 파티션을 누르면 파티션 정보를 확인할 수 있습니다.
  - 시작 섹터 번호 - 전체 섹터 수
- 0번 섹터를 살펴보면 하단에 MBR 파티션 테이블이 위치합니다. 이 부분을 해석하면 위에서 Properties가 보여준 값을 확인할 수 있습니다. - 시작 섹터: 00 08 00 00(리틀엔디안) -> 00 00 08 00(16진수) => 2,048 (10진수) - 전체 섹터 수: 00 78 E0 E8(리틀엔디안) -> E8 E0 78 00(16진수) => 3,907,024,896(10진수)
- 위에 계산 방법을 수동으로 굳이 할 필요는 없습니다. 물론 잘 알고 있으면 좋겠지만, 최근에는 중요도, 배점등이 매우 낮아졌기 때문에 도구가 보여주는 값의 의미만 정확히 알고 있으면 됩니다.
- 답안 작성 시에도 시간이 충분하다면 이 부분을 분석해서 표시해 주는 것도 좋겠지만, 사실 최근 시험 합격 여부는 뒤의 분석 문제 해결이 더 중요하기에 시간이 남을 때 해당 부분을 작성하는 것을 추천합니다.

1-3) GPT 파티션 테이블

GPT(GUID Partition Table)
- FTK Imager에서 Add Evidence Item 선택 후 Phisycal Drive 후 본인 PC의 드라이브를 선택해보도록 합시다. (아무거나)
  아래와 같이 GPT가 표시될 경우 GPT 파티션 구조입니다.
- 조금 복잡해 보일 수 있으나, 결론적으로 중요한 부분은 파티션 별로 시작 섹터 번호, 전체 섹터 수 입니다. 이미 FTK Imager가 분석을 해주고 있습니다.
- GTP 헤더, 파티션 엔트리의 경우 훼손할 수 있는 여지가 있고, 백업본도 있기 때문에 복원해야 하는 문제도 출제될 여지가 있습니다. 다만 이 경우는 출제 빈도가 매우 낮기 때문에 다른 분석이 충분히 익숙해진 뒤에 시간이 있을 경우 연습해 보도록 합시다. 반면 GPT 파티션은 정상이나, GPT 파티션 내의 파일시스템 복구는 자주 출제되고 있습니다.
- GPT 헤더 복구, 파티션엔트리 복구와 GPT 파티션에 있는 파일시스템 복구는 엄연히 다르니 구분하여 이해하고 있어야 합니다. > 3-1.1) GPT 헤더, 파티션 Entry 복구

1-4) 파티션이 없는 저장매체

3줄 요약

파티션은 저장매체에서 섹터 단위로 나눠서 저장한 영역이다.
시험에서는 포렌식 도구를 이용하여 분석하도록 한다.
GPT 헤더 복구 문제가 혹시나 나올 수 있으니 시간이 허락하면 추후에 복구 연습을 하여보자.

+ @(시험 외 공부용)

MBR 분석에 대해 조금 더 제대로 파악하고자 할 경우 > 3-1) MBR 파티션 테이블 구조
MBR 분석에 대해 조금 더 제대로 파악하고자 할 경우 > 3-2) GPT(GUID Partition Table) 구조