data leakage case #2, partition info
https://www.cfreds.nist.gov/data_leakage_case/data-leakage-case.html
#2. Identify the partition information of PC image.
파티션 정보는 MBR 에 저장되어 있다.(MBR 에 저장이 안되어있다면, 이것은 GPT 방식으로 GUID Partition Tables 를 보아야 한다.)
MBR 에서 파티션 정보 찾는 방법은 이전 포스팅 "MBR, partition table info 파티션 테이블 정보 찾기"를 참고한다.
http://holywaterkim.tistory.com/3?category=810422
** bytes per sector = 512 (properties 에서 확인가능)
partition#1
Boot flag : 80 / File system type : 07 / LBA : 00 00 08 00 / SIZE : 00 03 20 00
부트 파티션 / NTFS / 시작위치 : 0x8000 sector(=0x1000000 bytes) / 크기 : 0x32000 sector(=0x6400000 bytes = 104857600 bytes = 100MB)
partition#2
Boot flag : 00 / File system type : 07 / LBA : 00 03 28 00 / SIZE : 02 7C D0 00
부트 파티션 아님 / NTFS / 시작위치 : 0x32800 sector(=0x6500000 bytes) / 크기 : 0x27CD000 sector (=0x4F9A00000 bytes = 21367881728 bytes = 20378MB)
'Forensic > CFReDS-Data Leakage Case' 카테고리의 다른 글
data leakage case #6, all accounts list (0) | 2018.08.10 |
---|---|
data leakage case #5, computer name (0) | 2018.08.10 |
data leakage case #4, timezone (0) | 2018.08.10 |
data leakage case #3, OS Information (0) | 2018.08.10 |
data leakage case #1,hash values of image file (0) | 2018.08.10 |