NTFS 다중 파티션 분석
- 사용 도구 : AccessData FTK Imager, HxD
- 분석 파일 : NTFS 다중 파티션.001
1. Paritition 1[50M]
VBR 시작 주소
00 04 01 00 07 03 20 32 80 00 00 00 00 90 01 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
04 01 00 3byte CHS 시작 주소 (현재 사용 X)
07 1byte 파티션 파일시스템 타입 (0x07 : NTFS)
03 20 32 3byte CHS 끝 주소 (현재 사용 X)
80 00 00 00 4byte VBR 시작 주소 : 00 00 00 00 80 -> 128
00 90 01 00 4byte 파티션의 총 섹터 개수 : 00 01 90 00 = 102400
102400 x 512 = 52428800
2. Paritition 2[50M]
00 04 01 32 07 03 20 64 80 90 01 00 00 90 01 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
04 01 32 3byte CHS 시작 주소 (현재 사용 X)
07 1byte 파티션 파일시스템 타입 (0x07 : NTFS)
03 20 64 3byte CHS 끝 주소 (현재 사용 X)
80 90 01 00 4byte VBR 시작 주소 : 00 01 90 80 -> 102528
00 90 01 00 4byte 파티션의 총 섹터 개수 : 00 01 90 00 = 102400
102400 x 512 = 52428800
3. Paritition 3[50M]
00 04 01 64 07 03 20 96 80 20 03 00 00 90 01 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
04 01 64 3byte CHS 시작 주소 (현재 사용 X)
07 1byte 파티션 파일시스템 타입 (0x0B : FAT32, 0x07 : NTFS)
03 20 96 3byte CHS 끝 주소 (현재 사용 X)
80 20 03 00 4byte VBR 시작 주소 : 00 03 20 80 -> 204928
00 90 01 00 4byte 파티션의 총 섹터 개수 : 00 01 90 00 = 102400
102400 x 512 = 52428800
4. 확장 파티션
00 04 01 96 05 03 60 FE 80 B0 04 00 00 40 0B 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
04 01 96 3byte CHS 시작 주소 (현재 사용 X)
05 1byte 파티션 파일시스템 타입 (0x05 : 확장 파티션)
03 60 FE 3byte CHS 끝 주소 (현재 사용 X)
80 B0 04 00 4byte VBR 시작 주소 : 00 04 B0 80 -> 307328
00 40 0B 00 4byte 파티션의 총 섹터 개수 : 00 0B 40 00 = 737280
4-1. Paritition 5[50M]
00 08 01 96 07 07 20 C8 80 00 00 00 00 90 01 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
08 01 96 3byte CHS 시작 주소 (현재 사용 X)
07 1byte 파티션 파일시스템 타입 (0x07 : NTFS)
07 20 C8 3byte CHS 끝 주소 (현재 사용 X)
80 00 00 00 4byte VBR 시작 주소 : 00 00 00 80 -> 128 + 307328 = 307456
00 90 01 00 4byte 파티션의 총 섹터 개수 : 00 01 90 00 = 102400
102400 x 512 = 52428800
5. 확장 파티션
00 08 01 C8 05 0B 60 FC 80 90 01 00 80 A0 09 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
08 01 C8 3byte CHS 시작 주소 (현재 사용 X)
05 1byte 파티션 파일시스템 타입 (0x05 : 확장 파티션)
0B 60 FC 3byte CHS 끝 주소 (현재 사용 X)
80 90 01 00 4byte VBR 시작 주소 : 00 01 90 80 -> 102528 + 307328 = 409856
// 확장파티션 기준으로 102528 만큼 떨어져있음
80 A0 09 00 4byte 파티션의 총 섹터 개수 : 00 0B 40 00 = 737280
5-1. Paritition 6[308M]
00 0C 01 C8 07 0B 60 FC 80 00 00 00 00 A0 09 00
00 1byte 파티션 부트 플래그 (0x80 : 부팅 O, 0x00 : 부팅 X)
0C 01 C8 3byte CHS 시작 주소 (현재 사용 X)
07 1byte 파티션 파일시스템 타입 (0x07 : NTFS)
0B 60 FC 3byte CHS 끝 주소 (현재 사용 X)
80 00 00 00 4byte VBR 시작 주소 : 00 00 00 80 -> 128 + 409856 = 409984
00 A0 09 00 4byte 파티션의 총 섹터 개수 : 00 09 A0 00 = 630784
630784 x 512 = 322961408
'정보보안 > 포렌식' 카테고리의 다른 글
| GPT 파티션 분석 (1) | 2022.10.08 |
|---|---|
| 하드 디스크 구조 및 MBR (1) | 2022.10.08 |
| 고객 정보를 유출한 증거 수집 (0) | 2022.10.02 |
| ㅁ (0) | 2022.10.02 |
| 볼리티리티를 이용한 메모리 분석2 _ memdump2.vmem (0) | 2022.10.02 |
