search

3-1) 파티션과 파티션 테이블

circle-info

간단한 설명을 보고 실제 실습을 통해서 이해해 보도록 합시다. 포렌식 도구가 주요한 계산이나 분석을 다 해주기 때문에 이 장에서는 도구 사용법을 위주로 살펴봅시다. 추가로 공부를 해보고자 할 경우 하단에 상세 내용을 활용하시면 됩니다.

  • FTK Imager 도구

file-archive
57MB
Exterro_FTK_Imager_(x64)-4.7.3.81.zip
archive
arrow-up-right-from-squareOpen

hashtag
1. 기본 개념(파티션, 파티션테이블)

hashtag
1-1) 파티션

  • 저장 매체에서 구역을 나눠서 파일시스템을 저장하는 곳으로 간단히 하나의 하드디스크 또는 USB와 같은 저장매체에 두 개의 드라이브로 나누는 공간을 설정하는 것입니다.

  • 예를 들어 하나의 하드디스크에 C 드라이브, E 드라이브로 만들 수 있게 해주는 것입니다.

hashtag
1-2) MBR 파티션 테이블

  • MBR (Master Boot Record)

    • 저장 매체의 가장 처음 0번 섹터에 위치합니다.

    • FTK Imager에서 Add Evidence Item 선택 후 Phisycal Drive 후 본인 PC의 드라이브를 선택해보도록 합시다. (아무거나)

      아래와 같이 Partition 1 이 보일 경우 MBR 파티션 엔트리 구조입니다.

    • View - Properties 를 선택 후 파티션을 누르면 파티션 정보를 확인할 수 있습니다.

      - 시작 섹터 번호 - 전체 섹터 수

    • 0번 섹터를 살펴보면 하단에 MBR 파티션 테이블이 위치합니다. 이 부분을 해석하면 위에서 Properties가 보여준 값을 확인할 수 있습니다. - 시작 섹터: 00 08 00 00(리틀엔디안) -> 00 00 08 00(16진수) => 2,048 (10진수) - 전체 섹터 수: 00 78 E0 E8(리틀엔디안) -> E8 E0 78 00(16진수) => 3,907,024,896(10진수)

    • 위에 계산 방법을 수동으로 굳이 할 필요는 없습니다. 물론 잘 알고 있으면 좋겠지만, 최근에는 중요도, 배점등이 매우 낮아졌기 때문에 도구가 보여주는 값의 의미만 정확히 알고 있으면 됩니다.

    • 답안 작성 시에도 시간이 충분하다면 이 부분을 분석해서 표시해 주는 것도 좋겠지만, 사실 최근 시험 합격 여부는 뒤의 분석 문제 해결이 더 중요하기에 시간이 남을 때 해당 부분을 작성하는 것을 추천합니다.

hashtag
1-3) GPT 파티션 테이블

  • GPT(GUID Partition Table)

    • FTK Imager에서 Add Evidence Item 선택 후 Phisycal Drive 후 본인 PC의 드라이브를 선택해보도록 합시다. (아무거나)

      아래와 같이 GPT가 표시될 경우 GPT 파티션 구조입니다.

    • 조금 복잡해 보일 수 있으나, 결론적으로 중요한 부분은 파티션 별로 시작 섹터 번호, 전체 섹터 수 입니다. 이미 FTK Imager가 분석을 해주고 있습니다.

    • GTP 헤더, 파티션 엔트리의 경우 훼손할 수 있는 여지가 있고, 백업본도 있기 때문에 복원해야 하는 문제도 출제될 여지가 있습니다. 다만 이 경우는 출제 빈도가 매우 낮기 때문에 다른 분석이 충분히 익숙해진 뒤에 시간이 있을 경우 연습해 보도록 합시다. 반면 GPT 파티션은 정상이나, GPT 파티션 내의 파일시스템 복구는 자주 출제되고 있습니다.

    • GPT 헤더 복구, 파티션엔트리 복구와 GPT 파티션에 있는 파일시스템 복구는 엄연히 다르니 구분하여 이해하고 있어야 합니다. > 3-1.1) GPT 헤더, 파티션 Entry 복구

hashtag
1-4) 파티션이 없는 저장매체

  • 아래와 같이 Partition 번호가 없고, GPT가 없음에도 바로 파일시스템(FAT32, NTFS) 이 보이는 경우는 파티션이 없는 저장매체 Next3-1.1) GPT 헤더, 파티션 Entry 복구arrow-up-right입니다. USB의 경우 사실 파티션이 필요 없이 전체가 저장매체여도 충분히 그 기능을 하기 때문에 파티션이 없는 경우도 많습니다.

circle-info

3줄 요약

  1. 파티션은 저장매체에서 섹터 단위로 나눠서 저장한 영역이다.

  2. 시험에서는 포렌식 도구를 이용하여 분석하도록 한다.

  3. GPT 헤더 복구 문제가 혹시나 나올 수 있으니 시간이 허락하면 추후에 복구 연습을 하여보자.

hashtag
+ @(시험 외 공부용)

Previous3. 파티션과 파일시스템 복구Next3-1.1) GPT 헤더, 파티션 Entry 복구

Last updated