Živě.cz

Přihlásit se




Přístup k MFT na oddílech bez přiřazeného písmena

Offline - Junior Profil 
7. 12. 2017 12:42 Odeslat příspěvek
Když si vytvořím handle na drive (např. \\.\PhysicalDrive0), dostanu se (v boot sektoru) k údajům o rozdělení všech oddílů na disku. Pokud vytvořím handle na volume (např. \\.\C:), mohu (pro NTFS pomocí FSCTL_GET_NTFS_FILE_RECORD) přistupovat k MFT, záznamům v MFT a dostat informace o obsazených clusterech pro jednotlivé soubory. Existuje možnost dostat se k MFT např. na externím připojeném disku i na oddílech, které nemají přiřazené písmeno pro přístup k disku? (více bootovacích operačních systémů, různé záchranné oddíly pro obnovení, hidden partitions apod.)

Podotázka: přiřazením písmena k partition na externím disku změním údaje na tomto externím disku, nebo jen ve svých Windows?
Poslední příspěvek


Offline - Mírně pokročilý Profil 
7. 12. 2017 15:50 Odeslat příspěvek
File System Forensic Analysis, str. 275 (vazne by sis tu knihu mel poridit):

- pozice MFT na disku je v boot sektoru disku (pokud je to NTFS oddil)
- prvni zaznam v MFT tabulce popisjue MFT tabulku jako takovou (jeji velikost a pozici)

To znamena, ze tvuj ukol se zmeni na "jak prectu konkretni sektor z disku s neprirazenym pismenem?

Dale viz http://www.ntfs.com/ntfs-partition-boot-sector.htm


Offline - Pokročilý Profil 
7. 12. 2017 17:46 Odeslat příspěvek
Fantom007 píše
přiřazením písmena k partition na externím disku změním údaje na tomto externím disku, nebo jen ve svých Windows?

B ) je správně.


Offline - Mírně pokročilý Profil 
7. 12. 2017 18:18 Odeslat příspěvek
"B ) je správně."

Tim bych si u Windows nebyl tak jisty - beru za pravdepodobne, ze prirazenim pismena disku si na nej driv nebo pozdeji sahne Windows Explorer (nebo nejaky jiny indexer/agent/AV) a minimalne zmeni "last access" timestamp na nekterych souborech. Ale do detailu to aktualne nastudovane nemam, prece jen moje C|HFI vyprselo pred nejakymi deseti lety.


Offline - Junior Profil 
15. 12. 2017 13:35 Odeslat příspěvek
Díky za odpovědi. Asi bych to zbytečně překombinoval. Pokud si dočasně přiřadím pro potřeby čtení disku všem oddílům (kde to půjde) písmena, potom si budu moci načíst seznam souborů a pomocí FSCTL_GET_RETRIEVAL_POINTERS získat oblast sektorů, které obsazují (pro souborové systémy NTFS,FAT,exFAT a UDF) - s výjimkou krátkých rezidentních souborů umístěných přímo v MFT, které budu muset získat pomocí FSCTL_GET_NTFS_FILE_RECORD.

Bez písmen oddílů ve Windows bych nemohl načíst seznam souborů. Musel bych louskat názvy souborů a jejich umístění na disku přímo z MFT/FAT/... , musel bych si detailně nastudovat nejen NTFS, ale i FAT, popř. další souborové systémy. A to by zabralo spoustu času studia. Jako placený výzkumný úkol by to byla pěkná práce, ale jinak hledám pokud možno jednoduché řešení.

Doporučenou knížku File System Forensic Analysis jsem si poznamenal, a v případě nutnosti si ji pořídím. Dík za tip.
Nahoru

Odeslat nové téma  Odeslat odpověď

Stránka 1 z 1 [ Příspěvků: 5 ]
Předchozí téma | Následující téma
Verze pro tisk


Hledat
Přeskočit na
 

Hledat

Zobrazit v normálním vzhledu