VBR
VBR가 부트섹터와 섹터의 크기, 볼륨의 총 섹터, 클러스터의 크기 등의 정보를 저장하는 부분이다.
VBR 구조
점프 코드 : EB 52 90
OEM ID : 4E 54 46 53 20 20 20 20
섹터 당 바이트 수 : 00 02
클러스터 당 섹터 수 : 08
Reserved sector count : 00 00
Total Sector : FF A7 3C 3A전체 섹터의 수를 나타낸다.
VBR에서 확인한 총 섹터의 값이 MBR에서 확인 한 총 섹터의 크기보다 1이 작은데
그 이유는 백업본이 섹터의 제일 마지막에 위치해 있기 때문이다.
백업본(1 Sector) + VBR에 있는 총 섹터 = MBR에 있는 총 섹터
$MFT가 시작하는 위치 클러스터 : 03 00 00 00 00 00 00 00
MFT가 위치한 섹터 계산법
VBR의 위치 섹터 + $MFT가 시작하는 위치 클러스터 * 클러스터 당 섹터 수
MFT
'STUDY > Forensic' 카테고리의 다른 글
| FAT32 BR, 백업 없는 경우 (0) | 2021.10.20 |
|---|---|
| NTFS File Recovery (0) | 2020.08.04 |
| File System - MBR (0) | 2020.07.20 |
| 파티션 복구 실습 (1) | 2020.07.13 |
| 파일 포맷 내부 구조 (0) | 2020.06.04 |