In der heutigen Vorlesung besprechen wir Attribute und File System Metadata Files.
| Skript-Anfang | Kapitel 5 – Seite 26 |
|---|---|
| Skript-Ende | Kapitel 5 – Seite 48 |
NTFS
Wie finden wir die $MFTMirr?
- Wenn das Dateisystem nutzbar ist, schauen wir einfach im MFT-Eintrag 1 nach
- Wenn das Dateisystem nicht nutzbar ist, suchen wir das Backup des Bootsektors und navigieren durch dieses zum MFT
- Im Notfall suchen wir den ASCII-String „FILE“ (46494C45) mit
sigfind
$ sigfind -l 454c4946 image.dd > sigfind_outWie finden wir das Backup des Bootsektors?
- Das Backup ist im letzten Sektor auf der Partition zu finden
- Es liegt hinter dem eigentlichen Dateisystem