MBR, VBR, MFT 에 대해 알아보도록 하겠습니다.

 윈도우 운영체제를 사용하는 많은 사람들이 NTFS 라는 파일시스템을 사용하게 됩니다.

NTFS 시스템 구조에서는 MBR, VBR, MFT, 저널링, 파일 압축 등과 같은 다양한 기능이 있는데 그 중

MBR, VBR, MFT 에 대해 알아보도록 하겠습니다.

 

Ⅰ. NTFS 디스크 구조 

MBR

VBR

MFT

시스템 파일

파일 영역

Ⅱ. Windows 부팅 순서

  1) 전원 On

  2) POST(Power 설정사항 로드 : CMOS의 설정사항을 읽어 옴.

  3) MBR 로드 : 부팅 매체에 대한 기본 파일시스템 정보를 읽어 옴

  4) 윈도우 부트 서브 시스템 실행

  5) 윈도우 OS 로더(Winload.exe) 실행 : 각종 장치 드라이브를 로드하고, ntoskrnl.exe를 실행

 

Ⅲ. MBR(마스터 부트 레코드):
 마스터 부트 레코드는 저장 장치의 작은 부분으로, 일반적으로 첫 번째 섹터(512바이트)이며 컴퓨터 부팅에 필요한 필수 정보가 들어 있습니다. 일반적으로 디스크의 첫 번째 섹터(섹터 0)에 있으며 시스템의 펌웨어(BIOS 또는 UEFI)에서 운영 체제의 부트로더를 찾아 로드하는 데 사용됩니다.
 MBR에는 디스크 파티션의 레이아웃과 특성을 정의하는 파티션 테이블이 포함되어 있습니다. 최대 4개의 기본 파티션 또는 3개의 기본 파티션과 내부에 여러 논리 파티션이 있는 확장 파티션 1개를 지원할 수 있습니다. MBR에는 부트 프로세스를 시작하고 운영 체제의 부트 섹터를 로드하는 부트 로더라고 하는 작은 실행 코드도 포함되어 있습니다.

Ⅳ. VBR(볼륨 부트 레코드):

PBR(파티션 부트 레코드)이라고도 하는 볼륨 부트 레코드는 저장 장치 내의 각 파티션 시작 부분에 있는 섹션입니다. 디스크의 각 파티션에는 자체 VBR이 있습니다. VBR에는 해당 파티션에 특정한 부팅 코드가 포함되어 있으며 파일 시스템을 로드하고 해당 특정 파티션에 대한 부팅 프로세스를 시작합니다.

 

 예를 들어 FAT 파일 시스템의 경우 VBR에는 운영 체제의 파일을 실행하고 로드하는 부팅 코드가 포함되어 있습니다. NTFS 파일 시스템의 경우 VBR에는 부팅 프로세스를 시작하고 파일 및 디렉터리에 대한 정보가 들어 있는 MFT(마스터 파일 테이블)를 찾는 초기 코드가 포함되어 있습니다.

 

	차이점
MBR(Master Boot Record)	파티션별 부팅 코드와 로드에 필요한 정보를 포함하는 각 파티션의 시작 부분에 있는 섹션
VBR(Volume Boot Record)	파티션별 부팅 코드와 로드에 필요한 정보를 포함하는 각 파티션의 시작 부분에 있는 섹션

Ⅴ. MFT(Mater File Table)

 NTFS 볼륨의 모든 파일 및 디렉터리에 대한 정보를 저장하는 중앙 데이터베이스 역할을 합니다. 각 파일 및 디렉터리에는 파일 속성, 보안 설명자, 타임스탬프 및 파일 이름 정보와 같은 메타데이터가 포함된 MFT의 해당 항목이 있습니다.

 

Ⅵ. MBR 과 관련된 사건

-  2009년 7.7 디도스

7·7 디도스 공격 또는 777 디도스 공격은 2009년 7월 7일을 기점으로 대한민국과 미국의 주요 정부기관, 포털 사이트, 은행 사이트 등이 분산 서비스 거부 공격(DDoS, 디도스)을 당하여 서비스가 일시적으로 마비된 사건 입니다.

공격에 사용된 웜 중 일부에서 감염된 컴퓨터의 하드 디스크를 파괴하는 코드가 발견되었으며 실제 피해 사례도 나타났다.
- 2011년 3.4 디도스

 3·3 디도스 공격은 2011년 3월 3일을 기점으로 대한민국의 주요 정부기관, 포털 사이트, 은행 사이트 등을 분산 서비스 거부 공격(DDoS)을 통해 일시적으로 두 차례 마비시킨 사건입니다.

 코드는 개인 대 개인(P2P) 파일 공유 사이트인 쉐어박스와 슈퍼다운에 올라온 일부 파일에 삽입돼 유포되었으며, 4일 혹은 7일이 지나면 하드 디스크가 파괴되도록 프로그래밍이 되어있었으나 디도스 공격에 큰 피해가 없자 일주일 앞당긴 3월 7일에 파괴를 시작하도록 하는 명령과 보호나라 사이트 접속을 막는 명령을 내렸습니다.

- 2013년 3.20 사이버테러

  2013년 3월 20일 MBC, KBS, YTN, 농협, 신한은행 등 방송국과 금융사를 대상으로 전산망을 마비시킨 사건으로 북한의 정찰총국의 소행으로 결론이 난 사건입니다.

 악성코드는 kbs.exe, imbc.exe, sbs.exe 등의 형태로 배포되었으며, 윈도우 계열 PC는 MBR(Master Boot Record)과 VBR(Volumn Boot Record)을 삭제하고 무의미한 문자열로 바꾸어서 시스템을 마비시킨 공격이며,리눅스 (유닉스) 계열의 서버는 dd 및 rm 명령을 원격에서 전송하여 디스크를 삭제한 공격입니다.