반응형
GPT(GUID Partition Table)
- MBR 파티션 테이블의 용량 제약(2TB) 극복
- 인텔 BIOS의 대체 수단 ES(Extensible Firmware Interface)표준 제안
- 개선된 EFI 펌웨어에서 지원하는 파티션 테이블 형식
- 단순한 파티션 테이블 외에 다양한 디스크 정보 저장
- 1990년대 후반 GPT파티션 개발
- GPT 파티션 최대 크기((0xFFFF FFFF FFFF FFFF 8ZB(20^70))
- CRC(Cyclical Redundancy Check)를 이용해 파티션 테이블 보호
- x64기반의 플랫폼에서 사용가능
- GPT의 중요 데이터 구조는 볼륨의 끝에 복제본 저장(복구 가능)
EFI(Extensible Firmware Interface)?
- 운영체제와 하드웨어 펌웨어 사이의 새로운 인터페이스
- BIOS의 업그레이드
- 초기에는 인텔에서 개발, 현재는 통합 EFI로 발전
- 주요특징
- GUI Interface
- 마우스 사용가능
- Pre-OS SW구동 가능
- 시스템 복구, 인터넷 브라우저 등
- 네트워크 가능
- Multi-Language 지원
GPT구조
기존 MBR구조와 GPT구조 차이
- Protective MBR - 기존 MBR과 호환
- GPT Entry - 최대 128개의 파티션(hex value : 80)
- Backup - GPT Header, GPT Entry
- 처음 GPT 헤더와 엔트리, 백업 GPT헤더와 엔트리는 자리가 바꿔 구성됨
- 하나의 섹터에 Entry는 4개(엔트리는 128 bytes이기 때문)
- 섹터는 34개를 사용.
GPT Header & GPT Entry
다음 표는 사진은 GPT 헤더를 Hex Editor로 열어서 색으로 필드를 구분해 놓은 것이고 그 아래의 표는 GPT 헤더의 내용과 크기이다.
다음 표는 GPT 엔트리이다
다음은 GPT Partition Entry Attribute Flags의 표다.
GPT 복원
- MBR 필드로 채워도 복원은 된다.
- GPT 백업 영억이 존재하는 경우
- 백업 영역의 GPT헤더와 GPT 엔트리 복원
- GPT Header(LBA1), GPT Entry(LBA2-33) : 백업 순서는 역순 고려
- 백업 GPT영역이 존재하지 않는 경우
- 포렌식 아티팩트 추출
- 디스크 마운트
- Encase, Winhex, FTK Imager 등 포렌식 도구 활용
MBR과 원리는 같으니 예제는 MBR에서 보도록 하자
반응형
'DFIR > DFIR' 카테고리의 다른 글
| [파일 시스템]NTFS - 2편(MFT, Fixup array) (0) | 2021.11.12 |
|---|---|
| [파일 시스템]NTFS - 1편(VBR) (0) | 2021.11.12 |
| [Digital Forensic] MBR이란? (0) | 2021.11.12 |
| [디지털 포렌식] - PC 절전 모드 행위(2) (0) | 2021.11.12 |
| [디지털 포렌식] - 사용자 시간 변경 행위 (0) | 2021.11.12 |