NTFS VBR 파티션 복구

분석 도구

• FTK Imager

• HxD

파티션 상태 확인

• FTK Imager로 이미지 파일을 열어 마운드가 불가능한 상태임을 확인한다

• 파티션 복구를 위해, HxD 앱에서 도구 > 디스크 이미지 열기로 해당 이미지를 연다

1. 백업 섹터 있는 경우

1. 섹터 정보 확인

• 첫번째 섹터에서 VBR 주소와 전체 섹터 개수를 확인한다.

• VBR 주소는 0x0000800으로 10진수로는 2048 섹터이다.

• 총 섹터 개수는 0x07297FD7이다

2. VBR 섹터 확인

• 2048 섹터로 이동한뒤, 정상적으로 부팅이 불가능한 상황인지 확인한다.

3. 백업 섹터 복사

• 백업 섹터의 위치는 전체 섹터 개수 + VBR 주소 - 1이다.
• 수식으로 계산하면 아래와 같다.

0x07297FD7  + 0x00000800 – 1 = 0x072987D6 (120,162,262)

• 해당 섹터로 이동하여 부팅할 수 있는 상태인지 확인하고 복사해온다.

4. VBR 섹터에 붙여넣기

• 복사한 백업섹터 내용을 VBR 섹터에 붙여넣고 저장한다.

5. 파티션 마운드 확인

• 이후 다시 이미지를 불러와서 정상적으로 마운트되는지 확인한다.

2. 백업 섹터 없는 경우

1. VBR 이동

• VBR 주소는 0x00000080으로 128 섹터이다

2. BIOS Parameter Block 복원

• FTK Imager에서 마운트 최소 요건은 다음과 같다
• OEM ID (4E 54 46 53 20 20 20 20)
• Bytes Per Sector (00 20)
• Sectors Per Cluster (08)
• Total Sectors
• Start Cluster for $MFT : FILE 시그니처 검색하여 위치 특
• Clusters Per File Record (F6)

• VBR 섹터에 다음과 같이 복구한다

3. 파티션 마운트 확인

• 이후 다시 이미지를 불러와서 정상적으로 마운트되는지 확인한다.