Když si vytvořím handle na drive (např. \\.\PhysicalDrive0), dostanu se (v boot sektoru) k údajům o rozdělení všech oddílů na disku. Pokud vytvořím handle na volume (např. \\.\C:), mohu (pro NTFS pomocí FSCTL_GET_NTFS_FILE_RECORD) přistupovat k MFT, záznamům v MFT a dostat informace o obsazených clusterech pro jednotlivé soubory. Existuje možnost dostat se k MFT např. na externím připojeném disku i na oddílech, které nemají přiřazené písmeno pro přístup k disku? (více bootovacích operačních systémů, různé záchranné oddíly pro obnovení, hidden partitions apod.)

Podotázka: přiřazením písmena k partition na externím disku změním údaje na tomto externím disku, nebo jen ve svých Windows?

File System Forensic Analysis, str. 275 (vazne by sis tu knihu mel poridit):

- pozice MFT na disku je v boot sektoru disku (pokud je to NTFS oddil)
- prvni zaznam v MFT tabulce popisjue MFT tabulku jako takovou (jeji velikost a pozici)

To znamena, ze tvuj ukol se zmeni na "jak prectu konkretni sektor z disku s neprirazenym pismenem?

Dale viz http://www.ntfs.com/ntfs-partition-boot-sector.htm

B ) je správně.

"B ) je správně."

Tim bych si u Windows nebyl tak jisty - beru za pravdepodobne, ze prirazenim pismena disku si na nej driv nebo pozdeji sahne Windows Explorer (nebo nejaky jiny indexer/agent/AV) a minimalne zmeni "last access" timestamp na nekterych souborech. Ale do detailu to aktualne nastudovane nemam, prece jen moje C|HFI vyprselo pred nejakymi deseti lety.

Díky za odpovědi. Asi bych to zbytečně překombinoval. Pokud si dočasně přiřadím pro potřeby čtení disku všem oddílům (kde to půjde) písmena, potom si budu moci načíst seznam souborů a pomocí FSCTL_GET_RETRIEVAL_POINTERS získat oblast sektorů, které obsazují (pro souborové systémy NTFS,FAT,exFAT a UDF) - s výjimkou krátkých rezidentních souborů umístěných přímo v MFT, které budu muset získat pomocí FSCTL_GET_NTFS_FILE_RECORD.

Bez písmen oddílů ve Windows bych nemohl načíst seznam souborů. Musel bych louskat názvy souborů a jejich umístění na disku přímo z MFT/FAT/... , musel bych si detailně nastudovat nejen NTFS, ale i FAT, popř. další souborové systémy. A to by zabralo spoustu času studia. Jako placený výzkumný úkol by to byla pěkná práce, ale jinak hledám pokud možno jednoduché řešení.

Doporučenou knížku File System Forensic Analysis jsem si poznamenal, a v případě nutnosti si ji pořídím. Dík za tip.