GPT가 필요한 이유
GPT 구조
- 0번 섹터에 MBR
- 1번 섹터에 Primary GPT Header
- 2번 섹터부터 Primary Partition Entry
- 실제 파티션
- Backup Partition Entry
- Backup GPT Header
Primary GPT Header
0x1D1C596F == 488,397,167번 섹터에 백업 헤더 존재
0x1D1C594E == 488,397,134번 섹터에 Last usable LBA 존재 (즉, 488,397,135번 섹터에 백업 파티션 엔트리 존재)
0x2 == 2번 섹터가 Starting LBA of Entries
따라서 2번 섹터를 확인
Primary Partition Entry
각각 파티션의 First LBA, Last LBA 즉 파티션 시작 섹터와 끝 섹터를 나타낸다.
-> 파티션 1번 0x800(2048) ~ 0x647FF(411,647)
-> 파티션 2번 0x64800(411,648) ~ 0xA47FF(673,791)
-> 파티션 3번 0xA4800(673,792) ~ 0x87FF7FF(142,604,287)
-> 파티션 4번 0x87FF800(142,604,288) ~ 0xC7FEFFF(209,711,103)
Backup Partion Entry Array
Backup GPT Header
'Forensic > study' 카테고리의 다른 글
| MP4 구조 (0) | 2024.09.20 |
|---|---|
| [논문 정리] 비트코인 지갑의 아티팩트 분석 연구 (0) | 2024.08.09 |
| ZIP (0) | 2024.07.05 |
| [Forensic] Windows Timeline (3) | 2023.03.05 |
| [Forensic] 웹 포렌식 (0) | 2023.01.10 |
