@GPT - 2TG 이상의 파티션을 구성할 경우 사용하는 방식 - 파티션 엔트리가 128byte를 사용하고 최대 128개 파티션 생성이 가능하다. - 디스크 최대 용량은 이론적으로 8zb(제타바이트)까지 지원 가능하지만 ,18eb(엑사바이트)로 제한됨 - GPT는 1번 섹터에 GPT 헤더 정보(92Byte)가 있으며, 2번 섹터에 파티션 정보(128Byte 단위)가 있다.

1. 하드 디스크 구조 - 플래터 : 실제로 데이터가 저장되는 영역 - 스핀들 모터 : 플래터를 회전하는 모터 - 헤드 : 실제 데이터를 읽기/쓰기 담당 - 엑츄에이터 암 : 헤드를 데이터가 있는 위치로 이동 담당 - 커넥터 : 전원 공급/데이터 전송 담당 - 트랙 : 섹터 단위의 모음이며 원심 전체가 트랙이 됨 - 섹터 : 하드디스크의 물리적인 최소 단위(기본 : 512Byte) - 트랙 섹터 : 같은 구역에 있는 섹터 집합 - 클러스터 : 섹터를 일정 크기로 묶어서 데이터의 입출력 단위 지정 2. 슬랙(Slack) - RAM Slack : 섹터에 남는 비 할당 영역 - File Slack : 클러스터에 남는 비 할당 영역 - Filesystem Slack : 파티션 할당 후 크기를 맞추기 위해서 클러..

1. 볼라티리티 도움말 확인 vol.py --help vol.py --help > help.txt 2. 운영체제 이미지 정보 확인 vol.py -f memdump.vmem imageinfo 3. 'SkypeC2AutoUpdate.exe' 프로세스 정보 확인 vol.py -f memdump.vmem --profile=Win7SP1x64 pstree vol.py -f memdump.vmem --profile=Win7SP1x64 pstree > pstree.txt vol.py -f memdump.vmem --profile=Win7SP1x64 psscan vol.py -f memdump.vmem --profile=Win7SP1x64 psscan > psscan.txt vol.py -f memdump.vmem -..