Heute vertiefen wir das Themengebiet der Datenträgeranalyse und sprechen über Dateisysteme, Partitionenen und die Adressierung von Festplatten
| Skript-Anfang | Kapitel 3 – Seite 6 |
|---|---|
| Skript-Ende | Kapitel 3 – Seite 41 |
Maßeinheiten
Welche Maßeinheiten für Speicher gibt es?
| Basis 2 | Basis 10 |
|---|---|
| 210 (Ki) = 1024 | 103 (K) = 1000 |
| 220 (Mi) = 1024 * 1024 | 106 (M)= 1000 * 1000 |
| 230 (Gi) = 1024 * 1024 * 1024 | 109 (G) = 1000 * 1000 * 1000 |
Datenträgeranalyse
Warum partitioniert man Festplatten?
- Um mehrere Betriebssysteme auf einem physischen System zu nutzen
- Auslagerungspartition, um Prozessen einen größeren Adressraum zur Verfügung stellen
- Trennung von Daten
Was ist Cylinder Head Sector (CHS)?
- Adressierungsverfahren für Festplatten
- Adressierung erfolgt anhand der tatsächlichen Festplattengeometrie
- Wurde durch LBA ersetzt und wird heutzutage nicht mehr verwendet
- Hat maximal 224 Adressen (210 * 28 * (2^6 – 1))
Wie groß ist die Speicherkapazität mit CHS?
- Mit 512 Byte: 224 * 29 = 8 GiB
- Mit größeren Blöcken, sind größere Partitionen möglich
- Mit 4096 Byte: 224 * 212 = 64 GiB
Was ist Logical Block Addressing (LBA)?
- Adressierungsverfahren für die Blöcke von Festplatten
- Adressierung erfolgt komplett unabhängig von der tatsächlichen Festplattengeometrie
- Jeder LBA-Block entspricht dabei einem einzelnen Sektor der CHS-Adressierung
- Diese Blöcke werden mit Null beginnend durchnummeriert
- Hat maximal 232 Adressen
Wie groß ist die Speicherkapazität mit LBA?
- Mit 512 Byte: 232 * 29 = 2048 GiB
- Mit größeren Blöcken, sind größere Partitionen möglich
- Mit 4096 Byte: 232 * 212 = 16 TiB
Übung: Wie extrahiert man eine Partition mit dd?
- Mit
dd if=image.dd of=part_1.dd skip=63 count=1028097 bs=512 - Sobald man Parameter mit Blockanzahlen angibt, sollte man immer die Blockgröße (bs) spezifizieren
Wofür braucht man die Parameter noerr und synch bei dd?
- Mit
noerrwird die Kopie weitergeführt, auch wenn es einen Lesefehler gibt - Mit
synchwird bei einem Fehler dieser Bereich mit Nullen
Without noerror and sync, you basically don’t have a forensic image. For forensic images they are mandatory.http://www.forensicswiki.org/wiki/Dd
Beispiel
dd if=/dev/hda of=mybigfile.img bs=65536 conv=noerror,sync
Übung: Welches Partitionsschema ist konsistent?
- a, b und c sind konsistent
- d ist überlappend und somit inkonsistent
- e kann beides sein, je nachdem, ob P1 eine erweiterte Partition ist oder nicht
