[디지털포렌식 - 기초] MBR(Master Boot Record)

개요

컴퓨터를 켜면 POST(Power On Self Test)라는 스스로 자가점검하는 절차를 거침

 

POST 과정이 끝난 후 시스템의 첫번째 하드디스크의 첫번째 섹터를 읽고 실행하기 시작함. 

 

이때 이 첫번째 섹터에 운영체제가 저장되어있는 주소 등 정보가 들어있어야 할 텐데, 이것이 바로 MBR임

 

구성

MBR은 총 512Byte의 크기로 구성됨. 부트코드(446Byte), 파티션테이블(64Byte), 시그니처(2Byte)로 구성되어 있음

MBR 구조

부트코드

- 아래에 설명할 파티션테이블 중에서 부팅이 가능한 파티션이 있는지 확인

- 부팅 가능한 파티션이 있으면 해당 파티션의 VBR(Volume Boot Record)로 이동

- 부팅 가능한 파티션이 없으면 에러메시지 출력

파티션테이블

- 16Byte의 파티션 정보가 4개 저장되어 있음. 즉, 총 4개 파티션 정보가 들어갈 공간이 있음.

- 각 파티션의 시작 주소 정보, 파티션이 부팅 가능한지, 파티션 타입은 어떤 타입인지, 파티션의 총 섹터수는 얼마인지 등의 정보가 담김

cf) 각 파티션 시작위치에 운영체제에 따라서 VBR(Volume Boot Record)나 Super Block이라는 정보가 있음.

   * NTFS, FAT : VBR / EXT : Super Block

시그니처

- 55 AA로 MBR의 종료 지점을 나타냄