Cửa sổ tính toán id duy nhất theo khối lượng như thế nào?

Question

Theo như tôi hiểu trình điều khiển Windows (Ftdisk) tạo ra đối tượng "HardDiskVolume" cho mỗi khối lượng mà nó tìm thấy trên hệ thống và tạo đăng ký hồ sơ cho nó:

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\ 
\??\Volume{GUID} = BINARY_DATA 

Từ đó khối lượng thời điểm được gắn kết như là \??\Volume{GUID}

BINARY_DATA được sử dụng để ánh xạ ổ đĩa này tới \DosDevices\<DISK_NAME> trong cùng một cơ quan đăng ký để đĩa có chữ cái.

BINARY_DATA phải là duy nhất cho khối lượng và không nên thay đổi ngay cả khi tôi đặt đĩa này vào một PC khác, đúng không?

qunestion của tôi là:

1. GUID ở đây là gì? Có phải số ngẫu nhiên được tạo bởi ftdisk mỗi lần khởi động Windows không?
2. Windows tính toán BINARY_DATA như thế nào?

Tôi đã đọc lpVolumeSerialNumber sử dụng GetVolumeInformation. Nó chỉ là số nguyên dài và không giống như thế này BINARY_DATA.

Tôi tin BINARY_DATA là chức năng từ lpVolumeSerialNumber (được tạo ra bởi hệ điều hành khi khối lượng được định dạng) và cái gì khác:

BINARY_DATA= F(VolumeSerialNumber, SOMETHING). 

SOMETHING là gì?

tôi đọc MSDN và Russinovich/Solomon cuốn sách đã và vẫn không thể có được nó ..

---

Ồ, tôi tìm thấy.

Nó nói "Dữ liệu mà sổ lưu trữ trong giá trị cho ổ đĩa ổ đĩa cơ bản và tên khối là chữ ký đĩa kiểu Windows NT 4 và độ lệch bắt đầu của phân vùng đầu tiên được liên kết với âm lượng".

nhưng "chữ ký đĩa kiểu Windows NT 4" là gì?

Từ đây: http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=true

Đó là "Bốn byte đĩa chữ ký đó là trong lĩnh vực đầu tiên của mỗi đĩa cứng"

Vì vậy, tôi sử dụng công cụ HxD và thấy này bốn byte từ BINARY_DATA tôi Tôi tìm thấy nó trong hàng 1B0 và cột 08 đến 0B.

Hình như có một người nữa trên internet những người hiểu biết về nó: http://www.pcreview.co.uk/forums/image-copy-drive-wont-boot-properly-t3761034.html))

Vì vậy, nếu tôi thay đổi MBR trên đĩa nó sẽ mất đi lá thư của nó :)

Answer 1

Thứ nhất, GUIDs là GUID. Chúng chỉ là một chuỗi số được tạo ngẫu nhiên có khả năng có mục nhập trùng lặp rất thấp. Tôi nghi ngờ nó sẽ được tạo ra mỗi lần khởi động Windows, mặc dù tôi sẽ thừa nhận rằng nó có thể.Tôi không bao giờ nhận thấy nó thay đổi kể từ khi tôi không thấy GUID hdd của tôi thường là

Ngoài ra, bạn có deferencing lpVolumeSerialNumber không? Nếu không, bạn có thể nhận được một địa chỉ bộ nhớ. Các Notation Hungary "lp" == "Long Pointer để ..." The volume serial number bản thân trông giống như một DWORD, một 32-bit số nguyên

Answer 2

Đây là (phần chính của) câu trả lời từ Wikipedia:

"Số sêri là số 32 bit được xác định theo ngày và giờ trên đồng hồ thời gian thực trên máy tính hiện tại tại thời điểm định dạng của đĩa."

Answer 3

Điều này sẽ trở lại một vài năm khi tôi làm việc tại một công ty có thể đọc và ghi vào 62 sector đầu tiên của đĩa cứng. Chúng tôi đã phải cẩn thận không ghi đè lên tất cả 62 lĩnh vực hoặc chúng tôi sẽ có vấn đề với kích hoạt Windows. Thông thường goodies được lưu trữ ở đó tuy nhiên nó không phải là một bí mật.

Đảm bảo trên các sector FAT - 62 trước khi MBR là 'không sử dụng' và có thể sử dụng được bởi bất kỳ chương trình nào. Tôi đã sao chép văn bản từ một trang pháp y được liên kết bên dưới và bạn sẽ thấy rằng khả năng số nhận dạng duy nhất của nó được lưu trữ trên 62 ngành đầu tiên. Các nhà phân tích pháp y có thể sử dụng dữ liệu trong sổ đăng ký để xác định rằng bạn đã xóa một đĩa cứng và sau đó có thể tìm kiếm nó. Tôi đoán định danh được viết ở đó theo định dạng của Windows. Dữ liệu nhị phân là dấu thời gian và được tạo ra trên định dạng và với tất cả các bằng chứng thực sự mạnh mẽ này, bạn nên tìm thấy dữ liệu nhị phân hy vọng không được mã hóa trên 62 phân vùng đầu tiên ở đâu đó.

Thực ra chính xác tôi đã tìm thấy! WinHex này là quả bom! bạn muốn đọc từ 0 đến (62 * 512) trên một trong các ổ đĩa vật lý (không hợp lý). Tôi không nghĩ rằng bạn sẽ có bất kỳ vấn đề thay đổi này khác hơn có thể kích hoạt howeber thats một vấn đề cũ và tôi tin rằng họ dừng lại kể từ khi mọi người bây giờ cập nhật SSD của họ thường xuyên khi họ tan chảy.

TỪ http://www.forensicfocus.com/a-forensic-analysis-of-the-windows-registry

Một phân tích pháp y của Windows Registry

Derrick J. Farmer Champlain Cao đẳng Burlington, Vermont dfarmer03@gmail.com

Devices Mounted

Có một khóa trong Registry giúp bạn có thể xem từng ổ đĩa được kết hợp với hệ thống. Điều quan trọng là HKLM \ SYSTEM \ MountedDevices và nó lưu trữ một cơ sở dữ liệu của khối lượng gắn kết được sử dụng bởi hệ thống tệp NTFS. Dữ liệu nhị phân cho mỗi \ DosDevices \ x: giá trị chứa thông tin để xác định từng ổ đĩa. Điều này được thể hiện trong Hình 7, trong đó \ DosDevice \ F: là một khối lượng được gắn và được liệt kê là 'STORAGE Removable Media'.

Hình 7 Xác định khối lượng \ DosDevice \ F:

Thông tin này có thể có ích cho một pháp y giám định kỹ thuật số vì nó cho thấy các thiết bị phần cứng mà phải được kết nối vào hệ thống. Do đó, nếu thiết bị được hiển thị trong danh sách các thiết bị được gắn và thiết bị không phải là vật lý trong hệ thống, nó có thể cho thấy rằng người dùng đã xóa ổ đĩa nhằm che giấu bằng chứng. Trong trường hợp này, giám khảo sẽ biết họ có bằng chứng bổ sung cần phải được giữ .

LĨNH VỰC 1-62 trích dẫn từ
http://www.beginningtoseethelight.org/fat16/index.htm ngành 1-62 (> = 31.744 byte)

ngành 1-62 inclusively thường để trống. các ứng dụng mà sử dụng nó bao gồm: bộ nạp khởi động đa như trình khởi động nâng cao trình quản lý. các chương trình bảo mật như đĩa từ tính phản xạ. vi rút tự sao chép bản ghi khởi động chính để chúng có thể tải mỗi lần, đôi khi di chuyển mbr thực vào khu vực này, cộng thêm bất kỳ mã vi rút nào khác . các chương trình mã hóa đĩa đầy đủ và bản dịch đĩa phần mềm cho các đĩa cứng rất lớn cũng có thể nằm ở đây.