Přístup k MFT na oddílech bez přiřazeného písmena

C++, C#, Visual Basic, Delphi, Perl a ostatní

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Fantom007 7. 12. 2017 12:42

Když si vytvořím handle na drive (např. \\.\PhysicalDrive0), dostanu se (v boot sektoru) k údajům o rozdělení všech oddílů na disku. Pokud vytvořím handle na volume (např. \\.\C:), mohu (pro NTFS pomocí FSCTL_GET_NTFS_FILE_RECORD) přistupovat k MFT, záznamům v MFT a dostat informace o obsazených clusterech pro jednotlivé soubory. Existuje možnost dostat se k MFT např. na externím připojeném disku i na oddílech, které nemají přiřazené písmeno pro přístup k disku? (více bootovacích operačních systémů, různé záchranné oddíly pro obnovení, hidden partitions apod.)

Podotázka: přiřazením písmena k partition na externím disku změním údaje na tomto externím disku, nebo jen ve svých Windows?
Fantom007
Junior

Odeslat příspěvekod JirkaVejrazka 7. 12. 2017 15:50

File System Forensic Analysis, str. 275 (vazne by sis tu knihu mel poridit):

- pozice MFT na disku je v boot sektoru disku (pokud je to NTFS oddil)
- prvni zaznam v MFT tabulce popisjue MFT tabulku jako takovou (jeji velikost a pozici)

To znamena, ze tvuj ukol se zmeni na "jak prectu konkretni sektor z disku s neprirazenym pismenem?

Dale viz http://www.ntfs.com/ntfs-partition-boot-sector.htm
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Milanr1 7. 12. 2017 17:46

Fantom007 píše: přiřazením písmena k partition na externím disku změním údaje na tomto externím disku, nebo jen ve svých Windows?

B ) je správně.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 7. 12. 2017 18:18

"B ) je správně."

Tim bych si u Windows nebyl tak jisty - beru za pravdepodobne, ze prirazenim pismena disku si na nej driv nebo pozdeji sahne Windows Explorer (nebo nejaky jiny indexer/agent/AV) a minimalne zmeni "last access" timestamp na nekterych souborech. Ale do detailu to aktualne nastudovane nemam, prece jen moje C|HFI vyprselo pred nejakymi deseti lety.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod Fantom007 15. 12. 2017 13:35

Díky za odpovědi. Asi bych to zbytečně překombinoval. Pokud si dočasně přiřadím pro potřeby čtení disku všem oddílům (kde to půjde) písmena, potom si budu moci načíst seznam souborů a pomocí FSCTL_GET_RETRIEVAL_POINTERS získat oblast sektorů, které obsazují (pro souborové systémy NTFS,FAT,exFAT a UDF) - s výjimkou krátkých rezidentních souborů umístěných přímo v MFT, které budu muset získat pomocí FSCTL_GET_NTFS_FILE_RECORD.

Bez písmen oddílů ve Windows bych nemohl načíst seznam souborů. Musel bych louskat názvy souborů a jejich umístění na disku přímo z MFT/FAT/... , musel bych si detailně nastudovat nejen NTFS, ale i FAT, popř. další souborové systémy. A to by zabralo spoustu času studia. Jako placený výzkumný úkol by to byla pěkná práce, ale jinak hledám pokud možno jednoduché řešení.

Doporučenou knížku File System Forensic Analysis jsem si poznamenal, a v případě nutnosti si ji pořídím. Dík za tip.
Fantom007
Junior


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník