Pencereler hacim benzersiz kimliğini nasıl hesaplar?

Anladığım kadarıyla, Windows sürücüsü (ftdisk) sistemde bulduğu her birim için "HardDiskVolume" nesnesini oluşturur ve bunun için kayıt defteri kaydı oluşturur:

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\
\??\Volume{GUID} = BINARY_DATA

From that moment volume is mounted as \??\Volume{GUID}

BINARY_DATA is used to map this drive to \DosDevices\ in the same registry hive so disk has letter.

BINARY_DATA, birim için benzersiz olmalı ve bu diski başka bir PC'ye koymuş olsam bile değiştirilmemeli, doğru mu?

Benim en sevdiğim:

  1. GUID burada nedir? Her defasında ftdisk tarafından oluşturulan rasgele sayı mıdır?
  2. Windows, BINARY_DATA'yı nasıl hesaplar?

GetVolumeInformation kullanarak lpVolumeSerialNumber okudum. Sadece uzun bir tamsayı ve bu BINARY_DATA gibi görünmüyor.

BINARY_DATA lpVolumeSerialNumber işlevinden (birim biçimlendirildiğinde OS tarafından oluşturulan) ve başka bir şeyden kaynaklandığına inanıyorum:

BINARY_DATA= F(VolumeSerialNumber, SOMETHING).

BİR ŞEY Nedir?

MSDN ve Russinovich/Solomon kitabını okudum ve hala alamıyorum ..


Oh, buldum.

"Kayıt defterinin temel disk birimindeki sürücü harfleri ve birim adları için değerleri depoladığı veriler, Windows NT 4 stili disk imzası ve birim ile ilişkili ilk bölümün başlangıç ​​ofseti" dir.

ancak "Windows NT 4 stili disk imzası" nedir?

From here: http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=true

Bu, "her sabit diskin ilk sektöründeki dört bayt disk imzası" dır

Bu yüzden HxD aracını kullanıyorum ve bu dört baytımı BINARY_DATA'mdan buldum. 1B0 satırında ve 08 - 0B sütunlarında buldum.

İnternette, bunu bilen bir kişi daha var gibi görünüyor: http://www.pcreview.co .uk/forums/image-copy-drive-wont-önyükleme-doğru-t3761034.html ))

Yani eğer disk üzerinde MBR değiştirirsem onun mektubunu kaybedecekti :)

15
Cevabınızı cevap kutusuna gönderin ve kendine bazı puanlar verin!
katma yazar ixe013, kaynak

3 cevap

Birincisi için GUID'ler GUID'dir. Bunlar, bir çift girişe sahip olma şansının çok düşük olduğu, rastgele oluşturulmuş bir sayı dizisidir. Windows çizme her zaman üretileceğinden şüpheliyim, ancak bunun mümkün olduğunu kabul edeceğim. Hdd'imin GUID'sini sık sık görmediğim için bunu hiç fark etmedim

Ayrıca, lpVolumeSerialNumber'i erteliyor musunuz? Değilse, muhtemelen bir hafıza adresi alıyorsunuz. "Lp" nin Macar İşaretlemesi == "Uzun İşaretçi ..." Birimin Seri Numarası bir DWORD, bir 32-bitlik tamsayıya benziyor.

1
katma

İşte, Vikipedi 'nin (ana bölümü) cevabı:

"Seri numarası, tarih ve saate göre belirlenen 32 bitlik bir sayıdır.   bir diskin olduğu anda geçerli bilgisayarda gerçek zamanlı saatte   biçimlendirme. "

1
katma
Bu tamamen yanlış. Soru, GUID'in seri seri numarasını değil soruyor.
katma yazar simonzack, kaynak

Bu, sabit disklerin ilk 62 sektörüne okuyacak ve yazacak bir şirkette çalışırken birkaç yıl öncesine gidiyor. Tüm 62 sektörün üzerine yazmamaya dikkat etmeliydik ya da Windows aktivasyonunda sorun yaşadık. Tipik olarak iyiler orada saklanır, ancak bu bir sır değildir.

MBR'den önce FAT - 62 sektörlerinde 'kullanılmamış' ve herhangi bir program tarafından kullanılabilir. Aşağıda bağlantılı bir adli sayfadan metni kopyaladım ve muhtemelen benzersiz tanımlayıcıların ilk 62 sektörde depolandığını göreceksiniz. Adli analistler, bir sabit diski çıkardığınıza karar vermek için kayıt defterindeki verileri kullanabilir ve sonra buna bakabilirler. Tanımlayıcının Windows tarafından formatta yazıldığını farz ediyorum. İkili veri, zaman damgasıdır ve formatta oluşturulmuştur ve bununla birlikte, gerçekten güçlü kanıtları, ikili veriyi umarız bir yerde ilk 62 bölümde kodlanmadığını bulmanız gerekir.

Aslında doğru buldum! Bu WinHex bomba! FİZİKSEL sürücülerden birinde 0'dan (62 * 512) okumak istersiniz (mantıksal değil). Ben bunu başka bir problemi değiştirmekten başka bir sorun yaşayacağınızı düşünmüyorum, ama eski bir sorun ve insanlar artık SSD'lerini sık sık eritirken güncelledikleri için durduklarına inanıyorum.

enter image description here

FROM http://www.forensicfocus.com/a-forensic-analysis-of-the-windows-registry

A Forensic Analysis Of The Windows Registry

Derrick J. Farmer Champlain College Burlington, Vermont [email protected]

Mounted Devices

There is a key in the Registry that makes it possible to view each drive associated with the system. The key is HKLM\SYSTEM\MountedDevices and it stores a database of mounted volumes that is used by the NTFS file system. The binary data for each \DosDevices\x: value contains information for identifying each volume. This is demonstrated in Figure 7, where \DosDevice\F: is a mounted volume and listed as 'STORAGE Removable Media'.

Figure 7 Identification of volume \DosDevice\F:

This information can be useful to a digital forensics examiner as it shows the hardware devices that should be connected to the system. Therefore, if a device is shown in the list of MountedDevices and that device isn't physically in the system, it may indicate that the user removed the drive in attempt to conceal the evidence. In this case, the examiner would know they have additional evidence that needs to be seized.

SECTORS 1-62 QUOTED FROM
http://www.beginningtoseethelight.org/fat16/index.htm sectors 1 - 62 (> =31,744 bytes )

sectors 1 - 62 inclusively are normally left empty. applications that do use it include: multi boot loaders like ranish advanced boot manager. security programs such as reflex-magnetics disknet. viruses that copy themselves to the master boot record so that they can load every time, sometimes move the real mbr into this area, plus any more virus code. full disk encryption programs and disk translation software for very large hard disks may also reside here.

0
katma
Çok iyi bilgi, çok teşekkürler. Ancak "Windows, birim benzersiz kimliğini nasıl hesaplar?"
katma yazar Jet, kaynak
Windows
Windows
729 Katılımcıların

Windows ile ilgili tüm sorunların çözümüne yanıt arandığı ve paylaşımların yapıldığı bir gruptur. @SerCiTV @Tekpay @Apktanitim kanal/grupların uzantısıdır. https://t.me/joinchat/H1pwvUwqv4etCBtv9Oi_qQ