서울특별시 용산구 청파로 40, 1617호 (한강로3가, 삼구빌딩) 상호 : 아그날 (AGNAL)  대표 : 김명호  사업자등록번호 : 714-48-00095
TEL : 02-701-8898  FAX : 02-705-7754  E-mail : master@datalab.co.kr

Copyright © 2005 Agnal Data Recovery Center. All Right Reserved.

Data Recovery Software

논리손상복구

 

논리손상 (소프트웨어손상)이란

 

하드디스크에 물리적(소프트웨어)손상이 없는 상태에서 사용자로부터 파티션 삭제및 재설정, 데이터 삭제, 포멧, OS초기화 복원, 바이러스등으로 인하여 데이터 손실된 경우를 말한다

 

 

대표적인 증상

 

파티션삭제 MBR 손상

데이터(폴더파일)삭제

드라이브(파티션) 포멧

OS복원  / 공장 초기화

바이러스로 인한  손상

체크실행  데이터 손실

드라이브  엑세스 불가

포멧 하라  메세지출력

 

 

파티션삭제 MBR 손상

 

MBR은 Master Boot Record의 약자 입니다.

MBR의 역할은 컴퓨터가 부팅 또는 하드디스크의 정보(내용)를 보여줄 때 필요한 정보를 저장하는 장소입니다.

파티션(Partition)은 MBR의 한 부분이다

파티션이 삭제(손상)되면 파티션 0번 섹터의 정보값이 삭제 또는 손상 되어 하드디스크의 사용 할당 영역을 잃어버려 접근이 불가능 하게 된다.

실제 데이터는 데이터영역에 그대로 남아 있다.

파티션정보가 삭제(손상)된 경우 사용 하드디스크의 파일시스템 확인 후 주파티션, 확장파티션 사용 파티션 정보값을 찾아 삭제(손상)된 정보를 수정하여 손상 되기 전으로 되돌려 데이터복구를 한다.

부트섹터 63섹터 값이 삭제 또는 손상되도 사용 영역 정보 값을 찾아 수정하여 손상되기전으로  되돌려 복원이 가능 하다.

파티션 삭제(손상)된 경우 데이터복구는 100% 가능하다.

요즘은 3TB 하드디스크를 사용하면서 GUID 파티션테이블를 주로 사용한다.

GUID 파티션 테이블(GPT, GUID Partition Table)은 물리적인 하드 디스크에 대한 표준 파티션 테이블이다.

GPT 파티션 테이블은 수정이 불가능 합니다.

 

 

데이터(폴더파일)삭제

 

데이터를 삭제하면 디렉토리를 관리하는 테이블의 정보값이 삭제 되어 삭제된 데이터를 볼 수 없지만, 실제 데이터는 데이터영역에 그대로 남아 있다.

데이터복구과정은 데이터영역을 검색하여 디렉토리와 파일을 복원 한다.

폴더, 파일을 삭제한 경우 사용하는 파일시스템 (NTFS / FAT32 / FAT )에 따라서 복원된 디렉토리 구조가 다소 차이가 있을 수 있다.

NTFS 파일시스템 경우 폴더, 파일을 삭제 하여도 기존에 사용한 디렉토리 구조로 폴더, 파일 복원이 가능하다.

FAT32 파일시스템 경우 폴더, 파일을 삭제 하면, 하의 폴더를 제외하고는 root 폴더,파일명의 앞자리가 손상되어 기존에 사용한 디렉토리 구조로 복원이 불가능한 경우도 있다.(한글은 1글자가 2byte로 사용하고 또한 유니코드를 사용하기 때문이자)

폴더 파일을 잘라내기를 하고 데이터를 잃어버린 경우도 데이터삭제와 동일하다고 볼 수 있으며, 삭제한 데이터복구는 실수로 삭제한 경우 바로 복구를 하면 100% 복구가 가능하지만 삭제 후 컴퓨터 작업이 있었다면 복구는 거의 불가능 하다.

데이터복구시간은 삭제된 용량과 삭제 후 작업에 따라 다소 차이가 있습니다.

 

 

드라이브(파티션) 포멧

 

드라이브를 포멧하면 실제로 데이터가 기록되는 섹터존에는 데이터가 남아 있다.

NTFS 파일시스템인 경우 Boot값이 초기화 되지만 디렉토리를 관리하는 MFT(Master File Table)의 정보는 포멧전 사용했던 정보 그대로 남아 있어

복구가 가능 하다. 또한 기존에 사용했던 디렉토리 목록데로 동일하게 복원이 된다.

FAT 파일시스템 경우 하위 디렉토리는 기존에 사용했던 목록데로 복구가 가능 하지만, Root 디렉토리는 폴더명이 변경되어 복원이 된다.

(Dir 정보값 앞부분이 변경되고 유니코드를 사용하는 한글 특성상) 요즘은 복구툴이 발전하여 디렉토리 목록 그대로 복원이 되는 경우도 있다.

포멧한 데이터복구는 대부분 100% 복구가 가능하다.

리눅스 ext2,ext3,ext4 또는 Apples OS HFS+,,HPFS 파일시스템인 경우 포멧을 하면 디렉토리 정보가 기록되는 테이블의 아이노드값과 연동되는 정보값이 변경되어 디렉토리 목록이 손상되어 복구 되거나 복구가 불가능 할 수도 있다.

 

 

OS복원  / 공장 초기화

 

사용하던 컴퓨터가 여러 원인으로 인하여 부팅이 안되고 시스템 프로그램인 운영체제(OS)에 접근이 안되는 경우가 있다.

이런 경우 기존의 사용하던 시스템 프로그램인 운영체제(OS)를 포맷하고 새로 설치 할 때가 많다.

새로 설치하는 방법은 하드디스크의 Recovery Partition Zone의 복구 파일을 단축키(브랜드에 따라  다름)를 이용하여 공장 출고시 상태로 복원을 하거나 CD/DVD를 이용하여 운영체제(OS)를 설치 하는 방법이 있다.

요즘에 판매하는 완제품 PC는 대부분 복구 파티션을 이용하여 복원을 할 수있다.

조립을 한 PC경우는 CD/DVD 또는 Boot USB를 통해 설치를 하지만 설치 후 Ghost 프로그램을 이용하거나 Win 7 디스크관리에서 지원하는 운영체제(OS) 이미지 백업을 한 후 부팅 손상시 Ghost 또는 Win7에서 백업해논 이미지 파일을 Restore 하여 복원 하는 경우도 같다고 봅니다.

하드디스크의 중요한  데이터를  꼭 백업하고 운영체제(OS) 복원 또는 설치 해야 하는데, 데이터 백업을 못한 경우 데이터를 복구 해야 할 때가 있다.  

데이터는 하드디스크의 Sector Zone에 순서적으로 저장 된다고 볼 수 있지만 SeekTime으로 저장 되기 때문에 순서에서 벗어나 기록 되는 경우도 많다. 중요한점은 기존 데이터에 새로 설치한 데이터가 얼마나 덮어쓰기(Overwrite) 되었느냐에 따라 복구율이 달라진다.

운영체제(OS) 설치 또는 복원 후 데이터를 복구 해야 한다면 더이상 "응용 프로그램 설치나  설치된 하드디스크에 데이터를 넣는것을 중단해야 한다".

Win7,8의 경우 데이터를 백업하지 못하고 운영체제(OS)를 복원 또는 설치를 했을 경우 복구율이 높지 않다. 

 

 

바이러스로 인한  손상

 

바이러스 종류에는 여러가지가 있으며 기존의 바이러스에 감염되면 컴퓨터의 실행 파일이 실행되지 않거나, 마우스 동작이 멈춰 다운되어 사용을 할 수 없게 되거나, 악성코드에 감염되어 인터넷 접속등이 불편하게 되거나, 데이터를 삭제하고, 실행파일만 손상되고 데이터를 파괴하는 경우 등등 ..이 있다. 증상에 따라서 복구가 100% 가능 하지만, 불가능 한 경우도 종종 있다.

2012년부터 유행하는 랜섬웨어(Ransomware)는 컴퓨터의 모든 데이터를 감염시켜 접근을 불가능하게 한 후 접근 할 수있는 키 값을 요구하는 악성 소프트웨어의 한 종류이다.

하드디스크의 파일을 암호화 하는 경우와,시스템의 접근을 불가능하게 만든 후 돈(비트코인)을 지불하면 복구가 가능하다는 안내 메세지를 볼 수가 있다. 비트코인 구매 지불 후 파일 암호 해독 키를 받아 해독해야 한다.

해독 실패시 랜섬웨어 개발자와 메세지로 연락이 가능하지만 복구가 안되는 경우도 있습니다.

랜섬웨어 악성 바이러스에 감염되면 금전적 피해와 복구가 불가능 할 수도 있기에, 평상시 백신을 통해 랜섬웨어 악성 바이러스를 예방하여 데이터를 보호 할 수가 있습니다.

 

 

체크실행  데이터 손실

 

Windows 정상 종료가 안 되었거나 강제 종료등으로 인하여, 파일시스템 손상,  FAT/MFT 정보값 손상등으로 인하여 윈도우 부팅중 블루스크린(Win XP) 또는 블랙창(Win 7)에서 10초 카운터가 종료 후 ChkdskDisk가 실행된다. (취소는 Enter 또는 Esc Key)

윈도우의 ChkdskDisk가 자동으로 실행 되어 손상된  볼륨에 있는  디렉토리 파일을 임시로 chk 파일로 변환 후 복원해 주는 작업이 진행되게 됩니다.

이 과정에서 폴더나 파일이 없어진 경우 ChkdskFiles 모두 바뀌는 경우가 발생되게 됩니다. (최대 ChkdskFiles 10,000개)

chk 파일로 확장자가 변경된 경우 파일특성을 찾아 원래의 확장자로 복원하는 작업을 진행하게 됩니다.  또한 폴더 파일이 없어 진 경우는 복원작업을 통하여 파일을 찾아 주게 됩니다.

ChkdskDisk 실행 후 파일이나 폴더가 없어진 경우는 균 95%이상 복원이 가능합니다.

단, ChkdskDisk 실행시 하드디스크가 물리적으로 손상이 없어야 합니다.

부팅하드,데이터저장 슬래브하드 또는 외장하드도 ChkdskDisk 실행시 베섹터가 없어야 하며, 베드섹터 유무 상태를 모르고 명령을 주어 ChkdskDisk를 실행 했다면 추가 손상으로 복구가 불가능 할 수도 있습니다.

 

 

드라이브  엑세스 불가

 

잘 사용하고 있던 하드디스크의 드라이브 또는 폴더를 클릭 했을 경우 "드라이브를 엑세스 할 수 없습니다 파일 또는 디렉토리가 손상되었기 때문에 읽을 수 없습니다" 라는 문구가 출력 되며 엑세스를 할 수가 없습니다.

대부분 하드디스크의 Bitmap 또는 Fat 정보값이 손상되어 접근을 못하게 되는 경우 입니다.

복구는 100% 가능 합니다.

BadSectors로 인해 엑세스가 안되는 경우에도 복구는 가능 하지만, 사용자의 체크디스크실행 또는 추가 작업이 없어야 합니다.

 

 

포멧 하라  메세지출력

 

하드디스크의 드라이브 클릭 했을 경우 "포멧 하시겠습니까?" 라는 문구가 출력 되며 엑세스를 할 수가 없습니다.

대부분 하드디스크의 MBR(Master Boot Record) 정보값이 손상 되거나 Bad섹터 또는 하드디스크의 데이터를 읽고 쓰는 Head가 손상되어 포멧하라는 메세지가 출력되며 접근을 못하게 되는 경우 입니다.

이런 경우는 사용자의 체크디스크실행 또는 추가 작업이 없어야 합니다.

복구를 어렵게 만들거나 불가능 하게 할 수가 있습니다.

베드섹터가 아주 심하지 않을 경우 복구는 100% 가능 합니다.