[Windows FileSystem] - (1)

• MBR : 디스크 부팅 영역
• GBT : GPT 파티션은 2.2TB 이상 하드디스크를 단독 사용할 수 있다.(최대 128개까지 파티션을 나눔)
            UEFI는 그래픽 인터페이스를 제공해 마우스로 BIOS 설정을 변경할 수 있다. 
• VBR: 볼륨 영역
• 파일 시스템은 데이터 구조체를 해석하는 것 

---

• Big-Endian : 첫번째 저장 바이트를 최상위 바이트에 저장
• Littile-Endian : 첫번째 저장 바이트를 최하위 바이트에 저장 

write by Mohit Chawla

 

파일 시스템 

특정 디스크 볼륨을 효율적으로 관리(읽기/쓰기)하기 위한 시스템 

NTFS

NTFS 분석 = MFT 분석

LBA 0 ⇒ Sector 1 ⇒ 512byte Sector 1 ⇒ Boot code(446byte) + Partition Table(16byte*4개) 64byte + Signatue(2byte)

 

Hexadecimal Flags for Partition Type - Datarecovery.com

• ROM(비휘발성 메모리) < = > RAM(휘발성 메모리)
• LBA(주소 지정 방식) <=> CHS 
• UEFI BIOS(GPT 파티션 형식) <=> Legacy BIOS(MBR 파티션 형식) [diskmgmt.msc]

컴퓨터의 파일 시스템 유형을 확인할때는 chksdk /L을 이용해 알 수 있다.

NTFS 확인

• 삭제된 파일에 대한 추적가능
  - Resident 유형의 파일은 데이터 확인 가능하다
  - Non-Resident 유형의 파일은 데이터가 작성된 클러스터의 위치가 확인 가능하다
     - 임의의 파일 및 디렉터리에 대한 행위(생성/삭제/수정/MFT 레코드 수정 등) 이력 추적이 가능하다

NTFS, FAT와 exFAT에 대 한 기본 클러스터 크기 - Microsoft 지원