 |
|
Модераторы: Snowy, bartram, MetalFan, bems, Poseidon, Riply |
 
|
|
MFT 
| Geniebal |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 35 Регистрация: 13.5.2010 Репутация: нет Всего: нет |
Народ, подскажите, как при открытии диска в двоичном виде найти $Value, чтоб узнать имя тома?
|
|||
|
||||
Загрузка ...
| Geniebal |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 35 Регистрация: 13.5.2010 Репутация: нет Всего: нет |
имеется в виду один из файлов MFT (Master File Table).
|
|||
|
||||
| Riply |
|
|||
 Опытный  Профиль Группа: Комодератор Сообщений: 572 Регистрация: 27.3.2007 Где: St. Petersburg Репутация: 21 Всего: 32 |
1. Что значит "открытии диска в двоичном виде" ? 2. Уверен, что $Value - у меня нет такого, зато есть $Volume ? 3. Что подразумевается под "имя тома" ? Может есть другие пути решения (попроще которые) ? Это сообщение отредактировал(а) Riply - 30.6.2010, 16:07 |
|||
|
||||
| Geniebal |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 35 Регистрация: 13.5.2010 Репутация: нет Всего: нет |
1. Что значит "открытии диска в двоичном виде" ?
Открытие жесткого диска как файл, т.е.
2. Уверен, что $Value - у меня нет такого, зато есть $Volume ? да, простите, я опечатался. 3. Что подразумевается под "имя тома" ? Имя логического диска, взятое из таблицы MFT 4.Может есть другие пути решения (попроще которые) ? К сожалению нет, так как согласно тз необходимо брать все из диска на автомате, т.е. анализируя файловую структуру. Причем, замечу, что анализ идет жесткого, а не логического диска. |
|||
|
||||
| Riply |
|
|||
|
Опытный Профиль Группа: Комодератор Сообщений: 572 Регистрация: 27.3.2007 Где: St. Petersburg Репутация: 21 Всего: 32 |
Если я все правильно поняла, то можно попробовать, примерно так: 1. Получаем BytesPerFileRecordSegment (размер FileRecord данного диска) и др. данные типа BytesPerCluster 2. Исходя из того, что LCN у $Volume равен 3, считываем по нужному оффсету (вычисляется из LCN) BytesPerFileRecordSegment байт. 3. В в считанном, посекторно правим контрольные биты. 4. В результате у нас на руках структура, имеющая заголовком FILE_RECORD_SEGMENT_HEADER 5. Анализируя заголовок получаем список атрибутов и их типы 6. Выбираем интересующий нас атрибут и "считываем" его "данные" В помощь: 1. на сайте Rouse_`а можно найти книгу: Брайан Кэрриэ Криминалистический анализ файловых систем 2. Линуксоиды очень хорошо поработали над драйверами FS для совместимости с Windows У них открыты не только исходники, но и составленная ими документация, самая полная из всех, которые я встречала (в т.ч. описание всех структур и их полей) Это сообщение отредактировал(а) Riply - 3.7.2010, 10:45 |
|||
|
||||
| Geniebal |
|
|||
|
Новичок Профиль Группа: Участник Сообщений: 35 Регистрация: 13.5.2010 Репутация: нет Всего: нет |
Спасибо за направление)
P.S. По книге криминалистический анализ ФС могу сказать, что там довольно таки в общем виде расписано, но в целом книга супер |
|||
|
||||
| Riply |
|
|||
|
Опытный Профиль Группа: Комодератор Сообщений: 572 Регистрация: 27.3.2007 Где: St. Petersburg Репутация: 21 Всего: 32 |
Угу. Она больше подходит для получения общего представления о том, с чем мы столкнулись. А конкретка - у линуксоидов |
|||
|
||||
|
|
| Правила форума "Delphi: WinAPI и системное программирование" | |
|
|
Запрещено: 1. Публиковать ссылки на вскрытые компоненты 2. Обсуждать взлом компонентов и делиться вскрытыми компонентами
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, Snowy, bartram, MetalFan, bems, Poseidon, Rrader, Riply. |
| 0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
| 0 Пользователей: | |
| « Предыдущая тема | Delphi: WinAPI и системное программирование | Следующая тема » |
[ Время генерации скрипта: 0.1313 ] [ Использовано запросов: 22 ] [ GZIP включён ]
Реклама на сайте Информационное спонсорство
|
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |