N0cT1s41

보호되어 있는 글입니다.

1. NTFS 파일 삭제 원리NTFS에서 파일이 삭제될 때, 데이터가 즉시 제거되는 것이 아니라 파일이 위치했던 MFT($MFT, Master File Table) 엔트리가 "사용 가능" 상태로 변경되고, 해당 파일이 저장된 클러스터가 새로운 데이터로 덮어쓰기될 수 있도록 예약된다. 즉  파일의 메타정보만 삭제하고 실제 데이터는 남아있게 된다. 그렇기에 파일을 삭제하여 메타정보가 지워 지더라도 실제 데이터가 남아 있으므로 삭제된 이후 파일을 복구할 수 있게 된다.1.1 파일 삭제 과정MFT 엔트리 수정: 파일의 MFT 엔트리가 삭제됨으로 표시되지만 데이터는 여전히 디스크에 존재한다.디렉토리 인덱스 업데이트: 파일이 속해 있던 디렉토리의 인덱스에서 해당 파일 정보가 제거된다.클러스터 할당 해제: 파일이 저..

1. VBR이란?VBR(Volume Boot Record)은 부팅 가능한 파티션(볼륨)의 첫 번째 섹터에 존재하는 영역으로, Boot Sector, 볼륨 크기, FAT 위치, $MFT 위치 등 볼륨과 관련된 다양한 정보를 포함하고 있다.VBR이 손상되면 볼륨의 정상적인 인식이 불가능하며, 의도적으로 볼륨의 존재를 숨기기 위해 VBR을 훼손하는 경우도 존재한다. VBR이 손상되었을 경우 Backup VBR을 통해 복구가 가능하며, FAT32의 경우 첫 번째 볼륨에서 6번째 위치에 존재하고, NTFS의 경우 볼륨의 마지막 섹터에 위치한다. 파일 시스템 Backup VBR 위치 FAT32볼륨의 첫 번째 섹터 + 6NTFS볼륨의 마지막 섹터2. NTFS VBR 구조NTFS 파일 시스템의 VBR은 다음과 같은 ..

1. GPT 개요GPT(GUID Partition Table)는 기존 MBR(Master Boot Record) 파티션 테이블의 용량 및 보안 제약을 개선하기 위해 개발된 파일 시스템입니다. GPT는 MBR의 2TB(0xFFFFFFFF) 한계를 넘어 최대 8ZB(0xFFFFFFFFFFFFFFFF)까지 지원할 수 있습니다.1.1 GPT의 특징최대 128개의 주 파티션을 생성 가능 (MBR은 4개 제한)CRC(Cyclical Redundancy Check)를 이용하여 파티션 테이블 보호 가능중요 데이터 구조를 볼륨 끝에 복제하여 장애 발생 시 복구 가능최신 EFI(Extensible Firmware Interface)와 함께 사용됨2. EFI(Extensible Firmware Interface)EFI는 인..

1. MBR 개요MBR(Master Boot Record)은 저장매체의 첫 번째 섹터(0번 섹터)에 위치하며, 512바이트 크기의 영역을 차지하는 부트 레코드입니다. 최근 SSD(Solid State Drive) 등장과 대용량 디스크의 확산으로 인해, MBR의 용량 한계를 극복하기 위해 GPT(GUID Partition Table)가 등장했지만, 여전히 많은 시스템에서 MBR을 사용하고 있습니다. 저장장치의 구조는 아래와 같다.MBR Slack 영억은 MBR과 VBR의 사이에 있는 영역으로 낭비 되는 공간 입니다.해당 영역에 부트킷, 랜섬 웨어와 같은 악성코드가 악용되는 공간 이기도 하면서, 보안 솔루션으로 사용되는 공간이기도 합니다. VBR영역은 볼륨의 시작에 위치하는 구조로 VBR에는 해당 볼륨의 파..

FAT32 파일 시스템 구조FAT(File Allocation Table) 파일 시스템은 Microsoft에서 개발한 파일 시스템으로, 디스크의 파일 할당 정보를 테이블 형태로 관리하는 방식입니다. FAT 파일 시스템은 구조가 단순하여 USB 메모리, SD 카드 등 다양한 저장 장치에서 널리 사용됩니다. FAT의 주요 버전으로는 FAT12, FAT16, FAT32, exFAT 등이 있으며, 이 글에서는 FAT32 파일 시스템에 대해 집중적으로 다룹니다.FAT32 파일 시스템 개요FAT32는 FAT16보다 더욱 복잡한 파일 구조를 가지고 있으며, 파티션의 최대 크기가 32GB로 제한됩니다. FAT32는 크게 예약된 영역(Reserved Area), FAT 영역(File Allocation Table Are..