Для просмотра карты разделов Apple можно воспользоваться программой mmls из пакета The Sleuth Kit. Вот как выглядят результаты, полученные при запуске mmls на портативном компьютере iBook с диском емкостью 20 Гбайт:

# mmls -t mac mac-disk.dd

MAC Partition Map

Units are in 512-byte sectors

Slot Start End Length Description

00: ----------0000000000 0000000000 0000000001 Unallocated

01: 00 0000000001 0000000063 0000000063 Apple_partition_map

02: ----------0000000001 0000000010 0000000010 Table

03: ----------0000000011 0000000063 0000000053 Unallocated

04: 01 0000000064 0000000117 0000000054 Apple_driver43

05: 02 0000000118 0000000191 0000000074 Apple_driver44

06: 03 0000000192 0000000245 0000000054 Apple_driver_ATA

07: 04 0000000246 0000000319 0000000074 Apple_driver_ATA

08: 05 0000000320 0000000519 0000000200 AppleJWDriver

09: 06 0000000520 0000001031 0000000512 Apple_Driver_I0Kit

10: 07 0000001032 0000001543 0000000512 Apple_Patches

11: 08 0000001544 0039070059 0039068516 AppleJIFS

12: 09 0039070060 0039070079 0000000020 Applejree

В этих данных строки отсортированы по начальному сектору, а второй столбец показывает, какая запись карты содержит описание раздела. В данном примере записи уже хранятся в отсортированном виде. Из строки 12 видно, что на компьютере Apple mmls выводит информацию о нераспределенных секторах. Строки О, 2 и 3 были добавлены mmls; в них выводится информация о местонахождении карты разделов и о свободных секторах. Перечисленные драйверы используются системой при загрузке.

Для анализа низкоуровневого образа диска в OS X также можно запустить программу pdisk с флагом -dump:

# pdisk mac_disk.dd -dump mac-disk.dd map block size=-512

#: type name length base (size)

1: Apple_partition_map Apple 63 @ 1

2: Apple_Driver43*Macintosh 54 @ 64

3: Apple_Dnver43*Macintosh 74 @ 118

4: Apple_Driver_ATA*Macintosh 54 @ 192

5: Apple_Driver_ATA*Macintosh 74 @ 246

6: Apple_FWDriver Macintosh 200 @ 320

7: Apple_Driver_I0Kit Macintosh 512 @ 520

8: Apple_Patches Patch Partition 512 @ 1032

9: Apple_HFS untitled 390668516 @ 1544 ( 18.6G)

10: Apple_Free 0+@ 39070060

Device block size=512. Number of Blocks=10053

DeviceType=0x0. DeviceId=0x0

Drivers-

1: @ 64 for 23. type=0xl 2: (P 118 for 36. type-Oxffff 3: @192 for 21, type=0x701 4: @246 for 34. type=0xf8ff

Как упоминалось во введении, файлы образов дисков Apple (не путайте с файлами образов, используемыми при анализе файловых систем) также могут содержать карту разделов. Файл образа представляет собой архивный файл, который может содержать несколько отдельных файлов (по аналогии с zip-файлами Windows или tar-файлами UNIX). Файл образа диска может содержать один раздел с файловой системой или же только файловую систему без разделов. Тестовый файл образа диска (таким файлам обычно присваивается расширение .dmg) обладает следующей структурой:

# mmls -t mac test.dmg

MAC Partition Map

Units are in 512-byte sectors

Slot Start End Length Description

00: ----------0000000000 0000000000 0000000001 Unallocated

01: 00 0000000001 0000000063 0000000063 Apple_partition_map

02: ----------0000000001 0000000003 0000000003 Table

03: ----------0000000004 0000000063 0000000060 Unallocated

04: 01 0000000064 0000020467 0000020404 Apple_HFS

05: 02 0000020468 0000020479 0000000012 Applejree

Факторы анализа

Единственная уникальная особенность разделов Арр1е состоит в том, что структура данных содержит несколько неиспользуемых полей, которые могут использоваться для сокрытия небольших объемов данных. Также данные могут скрываться в секторах между структурой данных последнего раздела и кондом пространства, выделенного для карты разделов. Как и в любой другой схеме, имя раздела и его тип еще ничего не гарантируют - такой раздел может содержать все, что угодно.

Итоги

Карта разделов Арр1е имеет довольно простую структуру, и понять ее несложно. Структуры данных хранятся в одном месте, а максимальное количество разделов зависит от того, каким образом производилось исходное разбиение диска. Программа ттІ5 позволяет легко идентифицировать местонахождение разделов Арріе на других компьютерах, а в системе ОБ X можно воспользоваться программой рсИБк.

Запись карты разделов | Криминалистический анализ файловых систем | Съемные носители


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс