FTK Imager 을 이용한 간단 디스크 이미지 분석

원도우 10 을 UEFI 부팅이 가능하도록 설치하면 총 4개의 partition 이 생성된다.

EFI system partition / Microsoft reserved partition / Recovery Partition / C drive

(EFI 시스템 파티션 / MS 예약 파티션 / 복구 파티션 / C 드라이브)

 

그 파티션들을 디스크 이미지를 통해 확인할 수 있었다.

이제 각 파티션이 무엇을 의미하는지, 어떤 정보가 저장되어있는지 살펴보겠다.

 

1) EFI system partition (Extensible Firmware Interface / ESP)

 

: data storage device 의 partition 으로, 컴퓨터 부팅 시 UEFI (Unified Extensible Firmware Interface) firmware 가 EFI 에 파일을 로드하여 운영체제와 유틸리티들을 실행할 수 있도록 해준다.

 

즉, 운영체제를 실행시킬 도구와 기타 유틸리티들을 저장하고 있는 공간이라고 생각하면 된다.

 

EFI 는 운영체제를 실행할 수 있는 boot loaders 나 kernel images 를 가지고 있고, (운영체제가 부팅되기 전에 실행되도록 하는) 시스템 유틸리티와 error log 와 같은 데이터 파일들을 가지고 있다.

 

윈도우 운영체제가 설치된 드라이브에는 이 EFI system partition 이 자동으로 생성되는데, 

 

디스크 관리에서 보이는 바로 저 부분인 것이다.

해당 디스크를 부팅 디스크로 사용하지 않는다면 이 부분을 직접 삭제해줄수도 있다.

 

EFI 시스템 파티션은 UEFI 에서 정의한 시스템으로 포맷되어 있어야 하는데, 보통 FAT32 포맷으로 정의되어 있으며 파티션 최상단 경로에 EFI 폴더를 가지고 있다.

그래서 어떤 디스크에 속해있든지 FAT32, EFI 폴더 의 조건을 만족한다면 UEFI 펌웨어에서 이 파티션을 ESP 로 인식할 수 있다.

 

 

2) Microsoft reserved partition (MSR)

 

: data storage device 의 partition 으로, MS 운영체제가 사용할 수도 있는 공간을 마련해주기 위해서 디스크 공간을 예약 해두는 공간이다.

 

더 자세히, 이 시스템 예약 파티션은 BitLocker 암호화 지원, Windows 복구 환경(WinRE) 지원과 부팅에 대한 정보(BCD) 를 저장하는 용도로 생성되는 영역이다.

또한 시스템 복원 예약 시점, 백업 정보 등 에 관련된 시스템 파일이 저장이 저장되어, OS가 부팅이 불가능한 상태에서도 네트워크 위치에 저장된 백업을 복원을 가능하게 하는 등의 중요한 역할을 한다.

 

따라서 이 파티션을 삭제할 경우 위에 언급한 몇몇 기능은 사용할 수 없게 된다.

 

2.1) BCD (Boot Configuration Data)

부팅에 대한 정보를 저장하는 부분이다.

 

 

 

 

Ref.

[1] en.wikipedia.org/wiki/EFI_system_partition

[2] usinan.blogspot.com/2018/01/uefi-boot.html

[3] en.wikipedia.org/wiki/Microsoft_Reserved_Partition

[4] answers.microsoft.com/ko-kr/windows/forum/windows_7-windows_install/%EC%99%9C-win7/bc294b63-0855-e011-8dfc-68b599b31bf5

[5]