HxD를 사용하여 손상된 파일시스템(NTFS) 복구하기

필요 실습도구 : NTFS.001(실습파일), HxD, FTK Imager

이번에는 FAT32 파일시스템과 마찬가지로 

현재 윈도우에서 많이 사용중인 NTFS를 복구해보는 실습이다.

먼저 FTK Imager로 해당 파일을 열어본다.

해당 이미지는 NTFS 파일시스템으로 포맷이 되어있으며 역시나 손상이 되었기 때문에 파일들이

보여지지 않는다.

이제 파일시스템 복구를 위해 HxD 프로그램으로 해당 파일을 열어준다.

NTFS의 BR 복사본은 FAT32와는 다르게 NTFS 마지막 섹터에 위치에 저장되어 있다.

따라서 NTFS의 섹터수를 알아야할 필요가 있으며

용량 = 섹터 수 X 512 로 계산을 하면 NTFS의 용량이 나오게 된다.

BR 의 시작주소는 128에 위치해 있으며 섹터수는 102,400 이다.

이제 128섹터로 이동해서 확인을 해보면 역시나 BR깨진것을 알 수 있다.

NTFS의 경우 헤더 복사본 위치가 Partition Sector 마지막에 존재한다.

NTFS의 마지막 위치를 확인 하려면 [BR의 위치 + NTFS의 전체 섹터 크기 - 1] 을 하면 NTFS BR의 복사본이 위치하는 것을 알 수 있다.

 

[16진수로 계산]

80 + 00 01 90 00 - 1 = 1 907F 로 계산이 되고

 

[10진수로 계산]

128 + 102,400 -1 = 102527 로 계산이 된다.

이제 BR의 복사본 위치를 계산했으니 102527섹터로 이동하여 확인한다.

 

이렇게 BR의 복사본이 있는것이 보인다 이제 이 값을 복사하여 128섹터에 덮어쓰기를 한다.

그리고 이제 이 파일을 저장하고 FTK imager를 통해 다시 확인해 본다.

이제 보이지 않던 파일들이 보여지게 된다.

** 위의 실습파일 및 내용 참조는 https://blog.naver.com/bitnang/220188735136 에서 하였으며

제가 개인적으로 공부를 위해 실습을 한 것입니다.