결론 : CHKDSK /R 드라이브명 명령어를 통해서 논리/물리적 결함을 수정해주면 드라이브 인식이 정상화 될 것이다.
사용 하던 하드디스크가 접근이 불가한 경우
윈도우의 CHKDSK를 실행 하여 디스크를 복구 할 수 있다.
이 명령어는 이미 많은 분들이 알고 있을건데 이 명령어를 통해서 실제 인식 불가한 디스크를 복구할 수 있다는 걸
알고 있는 사람은 많지 않다.
CHKDSK 옵션 명력어를 통한 복구 방법을 오늘 살펴 보겠다.
디스크를 연결했을 때 탐색기에서 드라이브는 올라오나 raw 상태로써 인식이 안되는 경우가 더러 발생한다.
그리고 해당 디스크를 더블클릭하여 연결을 시도하면 포멧을 하라고 나온다.
항상 사용하던 외장하드가 갑자기 연결이 안된다. 분명 데이터는 들어있는데 포멧을 하라고만 나오고
정말 답답할 다름이다.
이때는 MFT 파일 시스템의 정보가 깨져서 발생할 가능성이 매우 높고 이를 CHKDSK로 복구해줄 있다.
우선 복구하기전에 디스크 복제를 시도한다. CHKDSK로 복구 시도했을때 대부분 살겠지만 만에 하나를 위해
현재 디스크로 동일하게 디스크 복제를 해주는데 Encase나 FTK를 사용해도 되고 또는 전용 복제 장비인 Solo4나 팔콘 장비를 써도 된다.
우선 디스크 복제를 했다고 가정하고 복구 방법을 서술하겠다.
위와 같이 인식 불량하드를 복제하고나서 다시 연결을 한다.
아무런 조치를 안했으니 디스크관리를 가보면 디스크 상태가 정상이 아닌 raw일 것이다.
이때 컴퓨터의 시작 -> 실행 -> CMD (관리자 모드)로 실행을 한다.
그리고 CHKDSK /F 해당 드라이브 (g:)
이렇게 명령어를 친다.
이처럼
CHKDSK /F G: 엔터
이렇게 해주면 체크디스크가 실행 됩니다.
아래와 같이 손상된 파일테이블을 찾아서 복구를 하는데 만약 복구가 안되는 경우
CHKDSK /R G: 명령어를 사용한다.
명령어의 차이는 논리적 오류를 자동으로 처리하는게 F
논리 및 물리적 결함까지 체크하여 복구하는 것이 R이다.
결국 잘 모르겠으면 무조건 R로 복구를 해준다.
옵션의 차이는 아래와 같다.
이렇게 해서 복구를 진행하면 30분정도 후에 복구가 되어져 있을 것이다.
그리고 포렌식 관점에서는 기존의 디스크복제한 HDD와 이번에 복구한 HDD를 포렌식 툴에 놓고
MFT의 값을 비교해봐라.
Sector값의 변화를 확인 할 수 있을 것이다.
댓글 없음:
댓글 쓰기