디지털포렌식 전문가 2급 실기 대비 - [MBR] FAT32 MBR 복구 기초
https://pental.notion.site/2-1a095991283980ae844cf0896916ac12?pvs=74
디지털포렌식 전문가 2급 실기 대비 | Notion
본 자료는 2022년에 디지털 포렌식 전문가 2급 자격을 취득한 후, 향후 수험생분들에게 도움이 되고자 직접 제작한 것입니다.
pental.notion.site
노션에서도 열심히 작업중입니다.
해당 게시물은 디지털 포렌식 전문가 2급 자격증 취득을 도전하시는 분들의 공부에 도움이 되도록 작성한 게시물입니다.
많은 관심 부탁드리겠습니다.
다운로드 링크
먼저 주어진 ZIP 파일에서는 FAT32_MBR_RECOVERY.001 이라는 파일이 존재한다.
해당 파일의 정보는 다음과 같다.
FILE NAME FAT32_MBR_RECOVERY.001
| SIZE | 50.0MB (52,428,800 바이트) |
| CRC32 | 4FF0DFC3 |
| MD5 | 3E31587F0DF11378030AAB544BE5312F |
| SHA-1 | C84C8682CE7E5ED4ED3B4B1D7C76F4CBB4D2E2DC |
해당 파일을 FTK Imager에 탑재해 확인해 보면 다음과 같다.
FTK Imager을 통해서 확인 했을때, 파티션 1은 정상적으로 확인이 되지만, unallocated space 로 표시되는 것을 확인 할 수 있다.
이것은 즉, MBR, VBR 등이 손상되었음을 시사한다. 따라서 HxD 를 통해서 이미지를 탑재한다.
HxD를 통해서 이미지 파일을 열었을때, 0번 섹터의 끝 문자가 55 AA 이며, 해당 부분은 MBR의 마지막을 의미한다.
하지만 무언가 가시감이 드는 부분이 존재한다. MBR의 마지막 4줄은 파티션을 이어주는 역할을 한다.
먼저 MBR의 구조를 알아보고 넘어간다.
MBR의 구조는 다음과 같다. (출처, https://present4n6.tistory.com/16)
MBR(Master Boot Record)은 컴퓨터가 부팅될 때 가장 먼저 읽는 디스크의 첫 번째 섹터(0번 섹터)에 위치한 512바이트 크기의 영역입니다. 이 영역은 시스템 부팅과 파티션 정보를 관리하는 데 중요한 역할을 합니다. MBR의 구조는 다음과 같이 세 부분으로 구성되어 있습니다.
- 부트 코드(Boot Code) 영역
- 처음 446바이트를 차지하며, 시스템을 부팅하는 데 필요한 16비트 기계어 코드로 이루어져 있습니다. 이 코드는 파티션 테이블을 확인하여 부팅 가능한 파티션을 찾아 해당 파티션의 VBR(Volume Boot Record)로 제어를 넘깁니다.
- 파티션 테이블(Partition Table) 영역
- 다음 64바이트를 차지하며, 각 16바이트 크기의 파티션 엔트리 4개로 구성되어 최대 4개의 파티션 정보를 저장할 수 있습니다. 각 파티션 엔트리는 다음과 같은 필드로 구성됩니다.
- 부트 플래그(Boot Flag): 1바이트로, 부팅 가능 여부를 나타냅니다. 0x80은 부팅 가능, 0x00은 부팅 불가를 의미합니다.
- 시작 CHS 주소(Start CHS Address): 3바이트로, 파티션의 시작 위치를 Cylinder-Head-Sector 방식으로 표시합니다.
- 파티션 타입(Partition Type): 1바이트로, 파티션의 파일 시스템 종류를 나타냅니다. 예를 들어, 0x07은 NTFS, exFAT, HPFS 등을 의미하며, 0x0B 또는 0x0C는 FAT32를 나타냅니다.
- 끝 CHS 주소(End CHS Address): 3바이트로, 파티션의 끝 위치를 CHS 방식으로 표시합니다.
- 시작 LBA 주소(Start LBA Address): 4바이트로, 파티션의 시작 위치를 LBA(Logical Block Addressing) 방식으로 표시합니다.
- 파티션 섹터 수(Total Sectors in Partition): 4바이트로, 파티션의 총 섹터 수를 나타냅니다.
- 다음 64바이트를 차지하며, 각 16바이트 크기의 파티션 엔트리 4개로 구성되어 최대 4개의 파티션 정보를 저장할 수 있습니다. 각 파티션 엔트리는 다음과 같은 필드로 구성됩니다.
- 디스크 시그니처(Disk Signature) 영역
- 마지막 2바이트로, 항상 0x55AA의 값을 가지며, MBR의 끝을 나타내는 시그니처입니다.
이러한 구조를 통해 MBR은 시스템 부팅 시 부팅 가능한 파티션을 식별하고, 해당 파티션의 VBR로 제어를 넘겨 운영체제를 로드하는 역할을 수행합니다.
그렇다면 위 사진에서 빨간색 영역은 파티션 영역 이다.
위에서 살펴본 FTK Imager에서는 파티션 1은 인식되었지만 정확하게 위치가 매핑되지 않아, 육안상 파일을 확인 할 수 없었던 것이다. 지금 빨간 박스에서도 00 00 00 00 으로 파티션의 VBR위치가 명시되어 있지 않다.
HxD의 자체기능을 통해 FAT32 VBR 시그니처인 EB 58 90 4D 16진수 값을 검색하면 128번 섹터에 FAT32 VBR이 존재하는 것을 확인 할 수 있다.
그렇다면 해당 128번 섹터를 MBR에 연결을 해줘야하는데 128을 무식하게 01 28 00 00 으로 넣지 않기를 바라며, 계산기를 통해서 16진수로 변환한다.
128의 경우 16진수로 80이다. 즉 파티션 영역에는 80 00 00 00 이 들어가야한다.
현재 깨진 이미지 파일에는 00 00 00 00 이 들어가 있으며 해당 영역을 80 00 00 00 으로 수정한다.
수정후 FTK Imager을 통해서 확인하면 정상적으로 파티션이 복구 된 것을 확인 할 수 있다.
'Forensics > 디지털포렌식전문가2급 기출문제' 카테고리의 다른 글
| 디지털포렌식 전문가 2급 실기 대비 - [MBR] NTFS MBR 복구 기초 (1) | 2025.03.26 |
|---|---|
| 디지털포렌식 전문가 2급 실기 대비 - 자격증 소개 (1) | 2025.03.26 |
| 디지털 포렌식 전문가 2급 - 실기 복원 문제 (18회) (3) | 2024.10.08 |
| [디지털포렌식전문가2급] 18회 실기시험 복구 기출문제 풀이 (0) | 2022.07.31 |
| [디지털포렌식전문가2급] 제 3장 - 디지털 기기 및 저장매체 기출문제 변형 #2 (0) | 2020.10.29 |