분석 도구
- FTK Imager
- HxD
파티션 상태 확인
- FTK Imager로 이미지 파일을 열어 마운드가 불가능한 상태임을 확인한다
- 파티션 복구를 위해, HxD 앱에서 도구 > 디스크 이미지 열기로 해당 이미지를 연다
1. 백업 섹터 있는 경우
1. 섹터 정보 확인
- 첫번째 섹터에서 VBR 주소와 전체 섹터 개수를 확인한다.
- VBR 주소는 0x0000800으로 10진수로는 2048 섹터이다.
- 총 섹터 개수는 0x07297FD7이다
2. VBR 섹터 확인
- 2048 섹터로 이동한뒤, 정상적으로 부팅이 불가능한 상황인지 확인한다.
3. 백업 섹터 복사
- 백업 섹터의 위치는 전체 섹터 개수 + VBR 주소 - 1이다.
- 수식으로 계산하면 아래와 같다.
0x07297FD7 + 0x00000800 – 1 = 0x072987D6 (120,162,262)
- 수식으로 계산하면 아래와 같다.
- 해당 섹터로 이동하여 부팅할 수 있는 상태인지 확인하고 복사해온다.
4. VBR 섹터에 붙여넣기
- 복사한 백업섹터 내용을 VBR 섹터에 붙여넣고 저장한다.
5. 파티션 마운드 확인
- 이후 다시 이미지를 불러와서 정상적으로 마운트되는지 확인한다.
2. 백업 섹터 없는 경우
1. VBR 이동
- VBR 주소는 0x00000080으로 128 섹터이다
2. BIOS Parameter Block 복원
- FTK Imager에서 마운트 최소 요건은 다음과 같다
- OEM ID (4E 54 46 53 20 20 20 20)
- Bytes Per Sector (00 20)
- Sectors Per Cluster (08)
- Total Sectors
- Start Cluster for $MFT : FILE 시그니처 검색하여 위치 특
- Clusters Per File Record (F6)
- VBR 섹터에 다음과 같이 복구한다
3. 파티션 마운트 확인
- 이후 다시 이미지를 불러와서 정상적으로 마운트되는지 확인한다.
