Disk Forensics, MBR에 대한 이해

DiskLayout (Disk Forensic)

   1. MBR : BIOS
   2. GPT : EFI(UEFI)에서 인식하는 방식, MBR대체

***BIOS(32bit)--변화추세-->EFI(64bit)(Intel)

: 편의성/마우스/그래픽 지원, 하드웨어인식기능향상

//.BIOS:MBR만 인식 EFI :MBR지원 , GPT방식지원

   3. Disk Label (Sparc(hw이름) - Solaris(os))

1. MBR(Master Boot Record)

   1) Boot Strap Code

      ○ HDD로 부팅할 때 가장 먼저 실행되는 코드
         - 운영체제 부팅에 필요한 내용이 들어있는 파티션(Boot Flag=0x80)을 찾는다.
         - 부트 파티션의 PBR에서 BootStrapCode를 찾아 실행시킨다.
      ○ MBR BootStrapCode 복구 하기
         - 윈도우 설치 CD로 부팅한다.
         - 복구 콘솔로 들어간다.
         - fixmbr 을 실행시켜 bootstrapcode를 복구 시킨다.
         - 단, 파티션 테이블은 복구할 수 없다.(수동으로 복구해야 함.)

   2) Magic Signature

      ○ MBR(EBR) 이나 PBR이 손상되었는지를 확인할 때 사용하는 값
      ○ 섹터의 마지막 2바이트 부분에 0xAA55라고 써있음
          (섹터편집기에서는 55AA 라고 적음)
      ○ 0xAA55 가 아닌 다른 값이 적혀 있으면 손상된 것으로 간주하고 MBR/EBR/PBR을
          무시한다. (즉, 파티션이 인식되지 않는다.)

   3) Partition Table

      ○ 하드디스크의 파티션 정보 수록
         § 파티션의 부팅가능 여부(부팅가능/부팅불가)
            - 0x80 --> Boot Partition
            - 0x00 --> Non Boot Partition

[ Partition Table ]

         § 파티션의 시작주소(CHS) / 파티션의 끝주소(CHS)

         § 파티션의 시작주소(LBA - 섹터번호) / 파티션의 크기(LBA - 섹터 수)

         § 파티션의 파일 시스템 종류(FAT/NTFS ..)
- FAT(FAT12)->FAT16->FAT32->exFAT
            □ partition type list (google.com)

      ○ 주 파티션(= Primary Partition)
         § MBR의 파티션 테이블에 기록된다.
         § 당연히 4개만 만들 수 있다.

      ○ 확장 파티션(Extended Partition)
          § 진짜 파티션이 아니다.
         § MBR의 파티션 테이블에 엔트리가 4개 밖에 없기때문에 다른 곳에 파티션 테이블을 추가로 확보하는 개념이다.
         § MBR의 파티션 테이블에 기록된다.

[ 확장 파티션 ]

      ○ 논리 드라이브(Logical Drive)
         § EBR(Extended MBR)의 파티션 테이블에 기록된 파티션이다.

[ 참고 ]

cmd로 디스크관리[img1,2]

디스크 관리

 [img1]

cmd에서 디스크의 파티션 추가가능 [img2]

*포맷 ; 파티션(volume)에 파일시스템 생성

PBR(partition Boot Record)=VBR(Volume Boot Record)=BR(Boot Record)

▷ Disk Wiping (Anti Disk Forensic)

• zero fill : 0이나 랜덤값으로 섹터의 내용을 덮어씌우는 기법
• 복구 프로그램으로는 복구 불가능
• Zero Fill -> 0으로  모두 덮어씌움
• degaussing-재사용이 불가능

*데이터복구 

1)Software : zerofill은 재생불가능 

2)Hardware : zerofill 재생가능

▷ high level format 

• FAT 파일시스템 -> FAT초기화,  Root Directory초기화 -> 복구율이 매우 높다
• NTFS 파일 시스테 -> MFT 초기화, Root Directory초기화 ->복구율이 매우 높다.

*시스템에 따라 

파일 목록, directory 목록만 삭제 ,내용은 복구가능 

->데이터복구기술에 대응

▷ low level format

• 하드디스크의 트랙(실린더), 섹터를 다시그리는 작업
• 하드디스크 최초생산할 때 한버 작업
• 노후된 하드디스크(자력이 약해짐)를 재사용하고 싶을 떄 사용 -> 요즘에는 그냥 버림
• low level format은 anti forensic 방법으로 어떤가?
• 트랙과 섹터를 다시 구획하므로 스프트웨어적인 방법으로는 복구가 불가능하지만 물리적인 방법으로는 가능하다

 *sector, track을 다시 그리는 작업 (의미 x)

▷  소프트웨어적 완전삭제

• 기밀 자료 폐기에 대한 권고문
• 국가 별 주요 기관별로 사용하는 disk wiping 절차들이 규정되어있다. (문서화 되어있음)
• DoD 5220.22-M
• 미 국방성 데이터 파기 절차를 기술한 문서
• 도구
• bcwipe
• diskwipe
• hdd wipe tool

2018-12-24