Карта разделов Арріе содержит несколько 512-байтовых структур данных, каждая из которых представляет один раздел. Карта разделов начинается со второго сектора диска и продолжается до тех пор, пока не будут описаны все разделы. Структуры данных разделов хранятся в смежных секторах, и в каждой записи присутствует общее количество разделов. Структура записи карты разделов показана в табл. 5.7.

Таблица 5.7- Структура данных записей разделов Apple

Диапазон байтов

Описание

Необходимость

0-1

Сигнатура (0х504й)

Нет

2-3

Зарезервировано

Нет

4-7

Общее количество разделов

Да

8-11

Начальный сектор раздела

Да

12-15

Размер раздела в секторах

Да

16-47

Имя раздела в кодировке АБСН

Нет

Диапазон байтов

Описание

Необходимость

48-79

Тип раздела в кодировке АБСН

Нет

80-83

Начальный сектор области данных в разделе

Нет

84-87

Размер области данных в секторах

Нет

88-91

Состояние раздела (см. табл. 5.8)

Нет

92-95

Начальный сектор загрузочного кода

Нет

96-99

Размер загрузочного кода в секторах

Нет

100-103

Адрес кода загрузчика

Нет

104-107

Зарезервировано

Нет

108-111

Точка входа в загрузочный код

Нет

112-115

Зарезервировано

Нет

116-119

Контрольная сумма загрузочного кода

Нет

120-135

Тип процессора

Нет

136-511

Зарезервировано

Нет

Тип раздела задается в кодировке АБСП, а не целочисленным кодом, как в других схемах. Коды состояния каждого раздела применимы как к А/ІІХ (старая операционная система Арріе), так и к современным системам Масткії. Поле состояния содержит одно из значений, перечисленных в табл. 5.8 [Арріе, 1999].

Таблица 5.8. Коды состояния разделов Apple

Тип

Описание

0x00000001

Запись действительна (только A/UX)

0x00000002

Запись выделена (только A/UX)

0x00000004

Запись используется (только A/UX)

0x00000008

Запись содержит загрузочную информацию (только A/UX)

0x00000010

Запись доступна для чтения (только A/UX)

0x00000020

Запись доступна для изменения (Macintosh и A/UX)

0x00000040

Загрузочный код является позиционно-независимым (только A/UX)

0x00000100

Раздел содержит цепочечно-совместимый драйвер (только Macintosh)

0x00000200

Раздел содержит настоящий драйвер (только Macintosh)

0x00000400

Раздел содержит цепочечный драйвер (только Macintosh)

0x40000000

Автоматическое монтирование при запуске (только Macintosh)

0x80000000

Стартовый раздел (только Macintosh)

Поля области данных используются для файловых систем с областью данных, начало которой не совпадает с началом диска. Поля загрузочного кода предназначены для поиска загрузочного кода при запуске системы.

Чтобы идентифицировать разделы на диске Арр1е, программа (или человек) читает структуру данных из второго сектора. Обработка структуры дает общее количество разделов, после чего извлекается другая информация о разделах. Обычно первая запись относится к самой карте разделов. Затем читается следующий сектор, и процесс продолжается до тех пор, пока не будут прочитаны все разделы. Вот как выглядит содержимое первой записи карты разделов:

# dd if=mac-disk.dd Ьб=512 Бк1р=1 xxd

0000000: 504d 0000 0000 000а 0000 0001 0000 ООЗГ РМ.............?

0000016: 4170 706c 6500 0000 0000 0000 0000 0000 Apple...........

0000032: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000048: 4170 706c 655f 7061 7274 6974 696f 6e5f Apple_partition_

0000064: 6d61 7000 0000 0000 0000 0000 0000 0000 map.............

0000080: 0000 0000 0000 003f 0000 0000 0000 0000 .......?........

0000096: 0000 0000 0000 0000 0000 0000 0000 0000 ................

[...]

На компьютерах Apple используются процессоры Motorola PowerPC, поэтому данные на них хранятся с обратным порядком байтов. В результате отпадает необходимость в перестановке байтов, как в разделах DOS. В байтах 0-1 видна сигнатура 0x504d, а в байтах 4-7 - количество разделов, равное 10 (0x0000000а). Байты 8-11 показывают, что первый сектор диска является начальным сектором раздела, а размер раздела составляет 63 сектора (0x3f). Разделу присвоено имя «Apple», а тип раздела обозначается строкой «Apple_partition_map». Из байтов 88-91 видно, что флаги для раздела не установлены. У других записей, относящихся к конкретным разделам, заданы коды состояния.

Разделы apple | Криминалистический анализ файловых систем | Пример информации о разделах


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс