dotaky99

FAT와 NTFS에 대해서 간단하게 알아보도록 합시다. 그 전에 앞서 부팅은 어떻게 되는 것일까? 부팅과정 MBR(Master Boot Record)는 운영체제 부팅 시 POST(Power on Self-Test)과정을 마친 후 저장매체의 첫 번째 섹터를 호출하는 것으로 이 때 해당 부트 코드가 수행되게 한다. 부트 코드의 역할은 파티션 테이블에서 부팅 가능한 파티션을 찾아 해당 파티션의 부트 섹터를 호출해 주는 것인데, 부팅 가능한 파티션이 없을 경우 정의된 메시지를 출력하게 한다. 부팅가능한 파티션을 찾았을 경우 파티션 시작위치의 부트섹터를 로드한다. NTFS.sys 파일 시스템 드라이버가 있어야 해석이 가능하다. 파일 시스템? 파일 시스템이란 컴퓨터에서 파일이나 자료를 쉽게 발견 및 접근할 수 있도..

FAT구조 기존에 배웠던 FAT구조는 위의 사진과 같습니다. Reserved Area, FAT Area, Data Area로 이루어져 있으며, Reserved Area에는 FAT32기준 Boot Sector, FSINFO, Boot Strap, More reserved sectors로 총 32개의 섹터를 가지고 있습니다. 그렇다면 FAT Area는 어떻게 되는지 천천히 알아가 봅시다. FAT Area는 총 두 구역으로 나뉘게 됩니다. 아래처럼 말이죠 FAT 파일시스템은 FAT 영역에 의해 관리됩니다. FAT영역은 백업본이 하나더 있어서 두 개로 나뉘게 됩니다. 즉, 같은 값을 가진 영역이 두 개란 것입니다. FAT 백업본은 FAT Mirror라고도 말합니다. 더불어 FAT영역의 목적은 데이터 영역에 저장..

예약된 영역(FAT12/16 | FAT32) 아래는 FAT12, FAT16과 FAT32 구조이다. FAT12, FAT16은 예약된 영역에서 Boot Sector가 1섹터를 차지한다. 0~31번으로 총 32섹터를 가진다 0, 6번 섹터 : 볼륨 부트섹터(Volume Boot Sector) 1, 7번 섹터 : File System Information(FSINFO) 구조체 2, 8번 섹터 : 부트스트랩 코드(Boot Strap Code) Boot Sector Jump command to boot code & BIOS Parameter Block Jump command에서 58의 위치로 가라는 의미이다. FAT12/16은 'EB 3C 90', FAT32는 'EB 58 90' NTFS는 'EB 52 90'값으로..

이벤트 로그 Windows의 로그는 이벤트 로그라고 불리며 윈도우에서 일어나는 일들을 분야별로 나눠 기록하고 있다. 직접 윈도우 이벤트 뷰어로 가는 방법도 있지만 실행창에서 eventvwr.msc를 실행하여 갈수도 있다. 이벤트 로그란 감사 설정된 시스템의 모든 기록을 담고 있는 데이터라 할 수 있다. 윈도우 비스타를 넘어오면서 확장자가 evt에서 evtx로 변하게 되었다. 큰 특징으로는 Binary에서 Binary + XML로 저장 형태가 추가되었다. 로그 데이터는 시스템에서 발생하는 모든 문제에 대한 유일한 단서가 될 수 있다. 정확한 문제진단은 못하지만 그 판단은 분석가의 판단에 따르게 된다(리버스 커넥션 등). 응용 프로그램 로그 Windows 번들 소프트웨어를 비롯해서 사용자의 애플리케이션의 이..