2010년 11월 24일 수요일

하드 디스크의 데이터 구조[FAT]

하드 디스크의 데이터 구조


하드 디스크의 논리적 구조는 아래와 같습니다.


파티션(드라이브) 1 파티션(드라이브) 2
구분 내용

기타


하드 디스크 전체 영역 (500GB, 200GB ...)

하드의 실제 영역(크기)은 약간의 차이가 납니다.
500GB의 경우 : 하드 제조사(삼성,하다찌,..)는 1GB를 1000MB로 가정하고 제조됩니다.
하지만 OS의 경우는 1GB를 1024MB로 인식 하므로 차이가 납니다.

500GB 하드의 경우는
500GB * 1000 * 1000 * 1000 = 500000000000 byte <=제조사의 경우
500GB * 1024 * 1024 * 1024 = 536870912000 byte <=OS의 경우
500000000000 / 536870912000 = 0.931322574615478515625

500GB * 0.931322574615478515625 = 465.66GB(대략) <=OS가 인식하는 실제 영역(크기) 복잡ㅋ
하드에 전체에 대한 정보를 가지고 있는 영역

파티션이 몇개로 구성되었는지?
파티션 각각의 크기는 어떻게 되는지?
각각의 파티션 파일시스템이 뭔지?
등등에 대한 정보를 가지고 있습니다.

더 자세한 내용은 아래
http://e-data.co.kr/ver/bbs/board.php?bo_table=B08&wr_id=2

용어설명 메뉴에서 확인 하세요
파티션(드라이브) 1
각각의 파티션은 앞쪽에 자신의
파티션에 대한 정보,
폴더들구조,
파일들구조,

이후에
데이터들이 순차적으로 저장됩니다.
파티션(드라이브) 2



데이터가 디스크내에 어떻게 저장되는지 확인 해보겠습니다

파일시스템(window경우)
NTFS 구조:http://e-data.co.kr/ver/bbs/board.php?bo_table=B07&wr_id=5
FAT 구조:http://e-data.co.kr/ver/bbs/board.php?bo_table=B07&wr_id=2

FAT의 경우부터 확인 하겠습니다.



확인할 외장하드는 FAT외장하드, 320GB입니다
FAT파일 시스템(10GB), 나머진 할당하지 않았습니다.

용량이 298.09GB로 잡히는건 위에 설명되어 있습니다.


- 섹터,헤드,실린더에 이미지 참고




- DiskEditor를 이용해서 확인 합니다.




- MBR값(0번 섹터값)
1번칸 2번칸 3번칸 4번칸 5번칸 6번칸 7번칸 8번칸 9번칸 10번칸 11번칸 12번칸
- - Partition
Type Boot Begin
cylinder Begin
head Begin
sect End
cylinder End
head End
sect Relative
sectors Number of
sector
Enter 0Ch FAT32 LBA 0 1 1 1023 254 63 63 20964762


3번칸:파티션 타입- FAT LBA(현재 드라이브는 FAT입니다.)
그 외로 여러가지 타입이 있습니다



4번칸: Boot는 C드라이브일 경우 체크 되어집니다.현재는 외장하드 이므로 부팅값이 없습니다.

5번칸: Begin cylinder값 - 0 입니다.
특정 util로 파티션을 설정한 경우가 아니면 고정값입니다,
파티션이 2개일 경우는 2번째 파티션의 값은 1023입니다.

6번칸, 7번칸: Begin head, Begin sector값 - 1 입니다.
특정 util로 파티션을 설정한 경우가 아니면 고정값입니다,

8번칸, 9번칸: End cylinder, End head값 - 1023, 254 입니다.
특정 util로 파티션을 설정한 경우가 아니면 고정값입니다.

10번칸: End sector값 - 63 입니다.
특정 util로 파티션을 설정한 경우가 아니면 고정값입니다.



63번 sector는 Partition Boot Sector입니다. 첫번째 드라이브(파티션)에대한 정보를 가지고 있습니다.


- Partition Boot Sector(63번 섹터)




- 63번 sector Hex코드입니다



Hex코드 내용을 알수 없지만 처음 MSDOS..로 나오는면 FAT파일시스템 입니다

FAT의 경우 해당 파티션의 마지막에 69번 섹터의 복사본이 저장되어 있습니다.

파티션을 삭제한 경우 69번 섹터의 복사본으로 복원 할수 있습니다^^:

testdisk나 Partition Find and Mount 같은 프로그램으로 파티션을 복구 할수 있는 원리겠죠 .


11번칸: 첫번째 드라이브(파티션)이 시작 위치로 생각하시면 됩니다.

12번칸: Number of sector(섹터 전체 수)
드라이브 전체 크기입니다
20964762값이 10GB하드 용량입니다. ?? 뭐지?
섹터 하나당 512byte값을 가집니다
그러므로,
(20964762 * 512) / 1024 /1024 / 1024 = 9.99GB
섹터수 섹터당 KB MB GB
바이트수




- 파티션을 삭제한후 값들입니다.

- MBR값(0번 섹터값) : 모든 값이 0으로 채워집니다.



- 63번 sector Hex코드: 파티션을 삭제한후에도 Partition Boot Sector(63번 섹터)는 변경되지 않습니다.





파티션 복구 원리를 정리하면,

우선 파티션을 삭제한 경우
MBR(0번 섹터)값은 0으로 채워져 있으므로, MBR정보를 계산해서 값을 입력하면 됩니다.
63번 섹터(Partition Boot Sector) 값이 손상된 경우는 포멧하라는 메세지가 나옵니다.

FAT의 경우 69번 sector에 복사본이 있다고 말씀 드렸습니다.
69번 섹터값을 복사 해서 63번 섹터에 붙여 넣기 하면 됩니다.

- 69번 섹터(63번 섹터의 복사본이 있습니다.)



관련 동영상: http://e-data.co.kr/ver/bbs/board.php?bo_table=B20&wr_id=14


[출처] 데이터복구 커뮤니티 - http://e-data.co.kr/ver/bbs/board.php?bo_table=B08&wr_id=20

USB메모리 복구

USB메모리 복구 사례[1]

아래 그림은 바이러스가 걸린 메모리 내용입니다.



우선 메모리에 들어 갈 경우
오리, DCIM, RECYLER폴더와 autorun.inf 파일은 보지 않습니다.
속성이 Hidden(앞의 아이콘이 투명함) 처리 되어 있습니다.

attrib *.* -s -h -r /D /S

Dos창에서위 명령어로 Hidden속성을 제거 합니다.
http://e-data.co.kr/ver/bbs/board.php?bo_table=B16&wr_id=5&page=0 <= 참고게시물

Hidden속을 제거 하면 위에 그림처럼 보입니다.


아래 4개의 파일
---------------------
오리.exe 파일
DCIM.exe 파일
Flashy.exe 파일
RECYCLER.exe 파일
---------------------

위의 파일들은 앞의 아이콘이 폴더 모양처럼 생겼지만 폴더가 아닙니다.
잘못해서 폴더를 열려고 클릭하면 파일이 실행됩니다.

파일 종류를 보면 응용 프로그램이라고 나옵니다.

폴더를 열려고 클릭하면 순간 파일이 실행됩니다.
파일 내부의 코드(바이러스)가 실행됩니다.

attrib *.* -s -h -r /D /S 명령으로 없어졌던 폴더가 나타나면 폴더내부에 데이터가 있는지 확인후

다른 저장매체로 저장후 메모리는 포맷후 사용해야 합니다

[출처] 데이터복구 커뮤니티 - http://e-data.co.kr/ver/bbs/board.php?bo_table=B16&wr_id=6

엑셀 파일이 읽기전용이거나 읽기전용 위치오류 수정하는법

. 내컴퓨터 디스크 오른쪽 클릭->속성창 클릭

2. 등록 정보창 뜸.



도구 - 지금 검사를 실행합니다

3. 완료되면... 문제가 있는 엑셀 파일이 있는 폴더로 이동하면
C145G55G 이런식의 이상한 파일이 있는게 보임(문제된 엑셀파일은 사라져서 안보입니다)

4. C145G55G 파일이 원래 문제의 엑셀 파일입니다.

5. 파일명을 원래의 엑셀 파일명으로 바꿔주면 됩니다.(확장자 포함)
(예제: 월별매출.XLS)

*2007액셀 버젼은 .XLSX 4자 입니다.
[출처] 데이터복구 커뮤니티 - http://e-data.co.kr/ver/bbs/board.php?bo_table=B16&wr_id=7
USB/디카메모리안의 파일/폴더가 안보이는 경우

드라이브의 속성에서 사용중인 용량이 있다고 나오는데 USB/디카메모리 안에 들어 가면 파일이나
폴더가 안보이는 경우는 바이러스가 원인일수 있습니다


1. 원도우 시작->cmd 확인



2. USB/디카 메모리 드라이브명

E: 엔터 (해당 드라이브명)

attrib *.* -s -h -r /D /S 엔터 <=파일의 히든(숨김)속성을 제거합니다


- ATTRIB 속성
ATTRIB [+R -R] [+A -A] [+S -S] [+H -H] [[드라이브명:] [경로] 파일명] [/S [/D]]
+ 특성을 설정합니다
- 특성을 지웁니다.
R 읽기 전용 파일 특성을 설정
A 보관 파일 특성을 설정
S 시스템 파일 특성을 설정
H 숨김 파일 특성을 설정
/S 현대 폴더와 모든 서브 폴더에 있는 파일을 처리합니다.
/D 폴더를 함꼐 처리합니다.




3. 해당 드라이브에 들어가 보세요.


4.바이러스 파일들이 있을것으로 예상되는 필요하신 파일만 복사하시고 데이터 확인후 메모리는 포맷하세요.




기타원인으로는 디렉토리 구조 손상일 경우도 있습니다.

[출처] 데이터복구 커뮤니티 - http://e-data.co.kr/ver/bbs/board.php?bo_table=B16&wr_id=5
UBS인식 실패로 나오는 경우는

우선 기계적 문제인지 논리적 문제인지를 확인 해야 됩니다.

디스크 관리자에서 메모리가 정상적으로 인식이 되는지 확인 해야 됩니다.

>>디스크 관리자<<




디스크 관리자에서 USB메모리가 안 나타나면(용량이 정상적으로 나타나야함) 메모리가 불량입니다.

USB메모리를 다른 슬롯에 꼿아 보고 그래도 인식이 안되면 물리적으로 고장인 난 경우입니다.



USB는 메모리는 물리적으로 고장이 날 경우

메모리 타입에 따라 복구 가능 여부가 달라집니다.(아래 페이지 참조)

http://e-data.co.kr/ver/bbs/board.php?bo_table=B08&wr_id=11 <=USB메모리 관련




USB메모리가 물리적으로 고장난 경우


메모리 안쪽에 들어 있는 TSOP 타입 메모리칩을 분리해서 다른 메모리이 이식을 하거나


TSOP 타입 메모리칩을 읽을수 있는 장비를 통해 접근해서 복구 할수 있습니다.

USB의 메모리는 주기적으로 다른 저장매체로 복사를 해 두셔야 안전합니다
[출처] 데이터복구 커뮤니티 - http://e-data.co.kr/ver/bbs/board.php?bo_table=B16&wr_id=9

데이터복구 전문 커뮤니티 E-DATA 입니다

데이터복구 전문 커뮤니티 E-DATA 입니다