NTFS 의 구조
Volume Boot Record |
Master File Table |
Data Area | VBR.bak |
NTFS의 구조중 VBR에 대해 살펴보자.
포멧된 드라이브의 가장 앞부분에 위치하며 부트 섹터로서 추가적인 부트코드가 저장되어있다.
VBR의 위치를 보면 처음과 마지막 섹터에 위치하는데 마지막섹터에 있는 VBR은 백업 본이다.
(FTP32의 경우 처음 BR에서 + 6 섹터를 지나면 백어본이 있다.)
VBR의 크기
VBR의 크기는 클러스터에 따라간다. 고정값을 가지는 FAT방식과는 차이점을 보임.
클러스터(byte) |
VBR (sector) | 섹터가 하나일때 , 그 이상일때 |
512 |
1 | VBR 자체가 부트섹터 |
1k |
2 | 추가적인 부트코드 저장, NTLDR의 위치 저장 용도로 사용 |
2k |
4 |
|
4k |
8 |
부트섹터의 데이터구조
부트섹터의 모습
EB 52 90 은 Jump 커맨드로서 어느위치로 가서 부팅코드를 실행하라는 걸 알려준다.
4E 54 46 53 20 20 20 은 OEM ID 값으로 NTFS을 나타낸다.
추가적인 VBR 영역
NTLDR 과 $I30 이 보일것이다.
$I30은 NTLDR에서 파일이름속성을 인덱싱하는 이름이다.
간단히 말해 NTLDR이 위치한 곳을 기록해놓음으로서 더 빨리 로드할 수 있게 해준다.
'Kitri_NCS3기 보안과정 > 디지털포렌식' 카테고리의 다른 글
| 170428 FAT32 (0) | 2017.04.28 |
|---|---|
| 170427 사고대응과 분석 실습 (0) | 2017.04.27 |
| 170426 NTFS 에서 MBR , VBR 복구해보기 (1) | 2017.04.26 |
| 170424 MBR (0) | 2017.04.24 |
| 170424 디지털포렌식 개요 (0) | 2017.04.24 |
