인프런 커뮤니티 질문&답변

안녕하세요 설이로이님!

MBR과 BR의 구분은 해당 섹터의 구조를 보고 거의 바로 확인이 가능하긴 합니다.

다만 익숙치 않을 경우에는 여러 내용들이 꼬여서 보이기때문에 많이 보시는게 답입니다.

MBR과 BR을 어떻게 구분할수 있는지, 그리고 BR의 경우에도 파일시스템에 따라 어떻게 다른지 간략하게 정리해드릴게요.

1) MBR
아래는 일반적인 MBR의 구조입니다.

MBR은 경우에 따라 있을수도, 없을수도 있고 있는경우에는 0번섹터에 위치하기 되며,
만약 MBR이 없는 경우라면 0번섹터에는 첫번째 파티션의 BR가 오게 됩니다.

위의 그림을 보시면 중간부분까지는 특별한게 없죠? 다 0x 00 으로 채워진 것을 알수 있습니다.
다만 MBR에는 각각의 파티션의 정보를 담고 있는 파티션 테이블이 존재하기때문에
이러한 파티션 테이블이 있는지를 먼저 확인하고, 파티션 테이블에서 확인한 특정 파티션의 시작섹터로 이동해서 그 파티션의 BR이 존재하는지를 확인하는 과정을 통해서 MBR임을 확인할수가 있습니다.

위의 그림에서 첫번째 파티션의 시작섹터는 '00 08 00 00' 이고, 이를 빅엔디언트로 바꾸면
'00 00 08 00' = '800' 이며 16진수인 800을 10진수로 변환하면 2048입니다.
MBR이 존재하고, 우리가 확인한 곳이 파티션테이블이 맞다면 2048번 섹터에 해당 파티션의 BR이 있다는 의미입니다. 그렇게 2048번섹터에 갔는데 BR이 있다면 0번섹터는 MBR인것을 알수가 있습니다.

• 물론 MBR과 BR의 마지막에는 55 AA 라는 시그니처가 반드시 포함됩니다.

2) BR

BR의 경우 말씀하신 에러메시지(Press ctrl+alt+del to restart 등)를 확인할수 있습니다.
MBR에서는 이러한 에러메시지가 없었죠?
BR에는 이런 에러메시지가 포함되는데, 특정 섹터를 보고 BR이구나! 라고 알수 있는 몇가지 단서가 있습니다. 이부분은 파일시스템(FAT32,NTFS,exFAT)마다 조금씩 다른데 순서대로 볼게요.

• FAT32

BR섹터의 시작부분을 보면 OEM ID를 보여주기때문에 이 섹터는 BR이고, 또 어떤 파일시스템의 BR인다라는 것을 추정할수 있습니다.

위 그림은 FAT32의 BR인데, 먼저 눈에 들어오는게 [MSDOS5.0]이 보이시나요?
그리고 끝부분 쯤에 말씀하셨던 에러메시지가 나오고, 섹터 마지막에는 시그니처인 55 AA가 있습니다.
한가지 특이한건 BR의 다음섹터에 [RRaA]라는 문자열이 있는데
이런 부분들을 보고 이 섹터는 BR이고, FAT32파일시스템이다라는 것을 확인할수 있습니다.
추가로, BR은 항상 백업이 있는데, FAT32 BR의 백업은 원 BR이 위치한 섹터 +6 섹터에 저장되므로
만약 파티션테이블에서 확인한 섹터로 이동했으나 00 으로 가득채워져있거나 기타 훼손등이 의심된다면
6을 더한 섹터로 이동해서 백업이 있는지 확인하고, BR의 백업이 있다면 파티션 테이블에서 확인한 섹터는 FAT32의 BR이 맞다는것을 알수 있게 됩니다.

※ FAT32 BR 특징
① BR 시작부분에 'MSDOS5.0'이라는 OEM ID
② BR 끝부분에 에러메시지
③ BR 섹터 마지막에 55 AA 시그니처
④ BR 섹터 다음섹터에 'RRaA'
⑤ BR 섹터 +6 섹터에 BR의 백업 저장

• NTFS

NTFS의 BR은, 섹터 시작부분에 'NTFS ' 라는 OEM ID를 볼 수 있고,
끝부분에 에러메시지, 섹터 마지막에 55 AA 시그니처와 함께, BR섹터 다음 섹터에는
'BOOTMGR $I30~' 이라는 문자열을 볼수 있습니다.
이와 함께 백업섹터를 확인해볼수도 있는데, NTFS 백업섹터는 파티션의 마지막 섹터에 위치하기때문에
이는 [NTFS BR섹터 + 총섹터수 - 1] 로 계산가능하며, 총섹터수는 MBR의 파티션 테이블에서 확인가능합니다.

※ NTFS BR 특징
① BR 시작부분에 'NTFS '이라는 OEM ID
② BR 끝부분에 에러메시지
③ BR 섹터 마지막에 55 AA 시그니처
④ BR 섹터 다음섹터에 'BOOTMGR~'
⑤ 해당 파티션의 마지막 섹터에 백업 BR 저장

• exFAT

exFAT 파일시스템의 BR은, 섹터 처음부분에 'EXFAT' 이라는 OEM ID와
섹터 끝부분에 에러메시지, 그리고 섹터 마지막에 55 AA 시그니처를 확인할 수 있으며,
다른 파일시스템과 다르게 BR의 다음섹터에서는 특별한 문자열 확인이 어렵습니다.
다만 BR의 백업은 원 BR의 섹터 + 12 섹터에 위치하게 됩니다.

※ exFAT BR 특징
① BR 시작부분에 'EXFAT'이라는 OEM ID
② BR 끝부분에 에러메시지
③ BR 섹터 마지막에 55 AA 시그니처
④ BR 섹터 +12 섹터에 BR의 백업 저장

MBR과 BR은 디지털 포렌식 시험에 있어서 파티션 복구라는 어떻게 보면 전통적인(?) 문제를 해결하기 위해서 반드시 알아야 하는 부분입니다. 그렇기 때문에 이미지 파일을 hxd로 열어서 봤을때
0번 섹터에 보이는 것이 무엇인지, 그리고 그에 맞춰서 그 다음 단계는 어떻게 진행을 해야할지를 정확히 알고 있어야 하는데, 중요한 만큼 처음에는 헷갈리는 부분들이 많은 파트여서 충분한 연습이 필요합니다.

(연습이 충분히 된다면 파티션 훼손 문제는 정말 점수를 그냥 주는 문제구나라고 생각하실정도로 쉬워집니다!)

또한 질문주신내용중에 에러메시지(Press Ctrl+Alt+Del to restart) 를 보고 구분하는 것도 하나의 방법이긴 합니다만(MBR이 아닌 BR의 파일시스템 구분) 권장하진 않습니다.

그것 말고도 훨씬 더 간편하게 확인하는 방법도 있고, 에러메시지의 경우 정확히 외우지 않는다면
오히려 더 헷갈릴수가 있거든요.

＠ 질문이 수정된것 같은데, 수정전 질문에 시험 리뷰 강의 문의주셔서 혹시나 싶어 여기에 추가로 답변드립니다. 시험 리뷰는 21회시험부터 업로드 되어있습니다. 섹션 16.에 보시면 첫번째 강의에서 21회 리뷰강의를 확인하실수가 있습니다~