NTFS(New Technology File System)한 섹터당 512 바이트로 구성16진수 데이터 02 00은 십진수로 512 앵간한 파일 시스템은 00 02 08로 시작함 EB 52 땡땡은 점프 코드 볼륨 섀도우 카피는 컴퓨터가 만드는 경우(생성증거)와 사람이 만드는 경우(보관증거) 두가지가 있음컴퓨터가 만드는 경우는 생성증거이기에 법정에서 쓸 수 있음 이 파일이 이 날짜에 있다고 타임라인에 끼워둘 수 있음 삭제된 파일인데 왜 카빙이 가능한가?NTFS 뿐만이 아니라 FAT 등의 파일 시스템은 실제 클러스터에 저장된 내용을 삭제하는 것이 아니라 파일에 할당된 클러스터를 사용 가능한 상태로 바꾸어 클러스터들이 다른 파일에 할당될 수 있게 한다.따라서, 이미 덮어 써진 파일은 복구가 불가능하지만 그렇지..
