NetBSD и OpenBSD предоставляют пользователю доступ только к записям, присутствующим в структуре разметки диска BSD. В отличие от разметки диска FreeBSD, в OpenBSD и NetBSD эта структура может описывать разделы, находящиеся в любом месте диска. Иначе говоря, разметка диска может описывать разделы за пределами того раздела DOS, в котором она находится. В оставшейся части главы я буду упоминать только OpenBSD, но в действительности речь идет об обеих системах, OpenBSD и NetBSD. Проект OpenBSD отделился от NetBSD много лет назад.

После загрузки ядра OpenBSD разделы DOS игнорируются. Система использует их только для обнаружения начала раздела OpenBSD. Следовательно, если в системе установлены как Windows, так и OpenBSD, а пользователям предоставлен доступ к разделу FAT из OpenBSD, то раздел FAT будет присутствовать как в таблице разделов DOS, так и в разметке диска BSD. Ситуация показана на рис. 6.3 для разделов DOS, показанных на рис. 6.2. Однако на этот раз в разметке диска потребуется дополнительная запись для обращения к разделу DOS с типом NTFS.

Рис. 6.3. Диск FreeBSD с именами устройств

Имена файлов устройств в OpenBSD похожи нате, что используются в FreeBSD. Первичному устройству АТА назначается базовое имя /dev/wdO. Понятие «сегментов» отсутствует, а имена разделов BSD обозначаются буквами. Следовательно, первому разделу BSD присваивается имя /dev/wdOa, а второму - /dev/wdOb. Как и в FreeBSD, первый раздел обычно является корневым, а второй предназначается для области подкачки. Третий раздел, /dev/wdOc в нашем примере, является устройством, представляющим весь диск. Вспомните, что в FreeBSD третий раздел предназначался только для одного сегмента, или раздела, DOS.

Подведем итог: система OpenBSD предоставляет доступ только к разделам, описанным в разметке диска OpenBSD. Анализ системы OpenBSD следует сосредоточить на разделах, перечисленных в разметке диска.

Загрузочный код

Загрузочный код в системе BSD «окружает» структуру разметки диска, находящуюся в секторе 1 тома. В секторе 0 тома хранится загрузочный код, выполняемый при обнаружении загрузчиком MBR загрузочного раздела с типом BSD. Если загрузочный код не помещается в секторе 0, он продолжается в секторе 2 и может продолжаться до начала данных файловой системы, обычно в секторе 16.

Общий обзор | Криминалистический анализ файловых систем | Структуры данных


Криминалистический анализ файловых систем



Новости за месяц

  • Май
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс