HxD(헥사 에디터)를 이용한 MBR(Master Boot Record) 섹션 추출하기!!

요즘들어 MBR 관련 악성파일들을 많이 보고 있다.
(그동안 무시했던 벌을 지금 받는건가 ㄷㄷㄷㄷ;;)

암튼~ MBR 관련 악성파일들을 보다보니, MBC의 섹션을 추출해야 되는 경우가 다반수기 때문에 간편한 방법을 소개한다.

준비물은 간단하다. HxD 라고 불리우는 헥사에디터만 있으면 된다.

- HxD : Hex Editor (http://mh-nexus.de/en/hxd) 

프로그램이 설치되면 실행하자, 그리고 아래와 같이 친절하게 써놧으니~ 못하는 사람은 없으리라 본다...!!

1. 하드디스크 아이콘의 "디스크 열기" 를 클릭

2. 물리 디스크의 "하드디스크1" 를 클릭한다.
(물론 이 OS는 멀티부팅을 쓰지 않는 단독적인 OS다. 또한 OS설치도 파티션을 나누지 않았기 편하게 할 수 있다.)

3. 하드디스크를 보면 아래와 같은 내용들이 나온다.
이것이 부트레코드다. 그 중에 섹터 0 (512Byte)이 MBR, 즉 마스터 부트 레코드 라고 한다.
(아래의 내용은 WindowsXP의 내용이며, Windows7는 좀 틀리다.)

4. MBR을 확인 했으니, 이제 추출을 해야한다.
원하는 부분의 섹터를 드래그하여 우측버튼을 눌러 "복사" 를 클릭한다.

5. 그리고 새문서를 열어 "붙여넣기" 를 클릭한다.

6. 그럼 아까 드래그 했던 영역의 내용이 새문서에 새로 쓰여진다.

7. 마지막으로 저장한다^^

이렇게 MBR을 추출하여 비교분석 할 수 있다.

참 쉽죠잉~!!!

참고로 MicroSoft OS별 MBR은 아래와 같이 생겼다. 
그냥 참고만 하시라 ㅋㅋㅋ 저도 퍼온글^^

- MS-DOS 3.30, MS-Windows™ 95 (Master Boot Record)

- MS-Windows™ 95B, 98, 98SE and ME (Master Boot Record)

- Windows 2000(NT5.0), Windows XP (NT5.1) MBR(Master Boot Record)

- Windows™ Vista MBR(Master Boot Record)

- Windows™ 7 MBR(Master Boot Record)

음...틀린 부분이 있으면 ㅋㅋ 과감하게 지적질!! 감사 (__)