101 - Dateisystemanalyse im FAT-Dateisystem - Kapitel 4

Questions and Answers

Welches ist das Hauptziel der Analyse von Dateisystemdaten?

• Die Identifizierung der verwendeten Verschlüsselungstechnik
• Die Wiederherstellung gelöschter Dateien
• Die Ermittlung der Konfiguration und des grundlegenden Aufbaus des Dateisystems (correct)
• Die Analyse der Netzwerkaktivitäten des Systems

Welches Element wird als erstes bei der Analyse des Dateisystems untersucht?

• Die Data Area
• Die FAT Area
• Der Boot-Sektor (correct)
• Die Root Directory

Was ist ein Cluster im Kontext von Dateisystemen?

• Eine Gruppe von Sektoren, die eine logische Dateneinheit bilden (correct)
• Ein einzelner Sektor auf der Festplatte
• Ein Programm, das die Verwaltung von Dateien übernimmt
• Ein Verzeichnis, das Dateien und Ordner enthält

Welche Aussage zur Clustergröße ist korrekt?

Die maximale Clustergröße ist 32 kB, gemäß den Spezifikationen von Microsoft (B)

Welchen Zweck erfüllt die FAT Area?

Sie speichert Informationen über die Zuordnung von Clustern zu Dateien und Ordnern. (B)

Welcher Bereich enthält die Root Directory in FAT12/FAT16?

Unmittelbar nach der FAT Area (B)

Welche Art von Daten werden in der Inhaltsdatenauswertung betrachtet?

Die Daten, die in den Dateien und Ordnern gespeichert sind (B)

Welche Aussage zu den Cluster-Adressen in FAT12/FAT16 ist korrekt?

Die Cluster-Adressen in FAT12/FAT16 werden durch Informationen in der FAT Area bestimmt. (D)

Wie werden Verzeichnisse in einem FAT-Dateisystem identifiziert?

Durch den Datei-/Ordnernamen. (D)

Was passiert beim Löschen eines Eintrags in einem FAT-Dateisystem?

Nur das erste Byte des Eintrags wird substituiert. (B)

Wie können gelöschte Ordner in einem FAT-Dateisystem wiederhergestellt werden?

Durch die Suche nach Einträgen für '.' und '..' im nicht-allokierten Bereich. (C)

Wie werden Dateinamen und Metadaten in einem FAT-Dateisystem miteinander verknüpft?

Durch die Speicherung beider Daten in Directory Entries zusammen. (B)

Welche maximale Länge hat ein Dateiname im klassischen FAT-Dateisystem?

8 Zeichen für den Dateinamen plus 3 Zeichen für die Endung. (B)

Welche Aktion wird nicht direkt durch das Löschen einer Datei im FAT-Dateisystem durchgeführt?

Der Inhalt der Datei in den Clustern wird sofort überschrieben. (A)

Welche Information muss zwingend aus dem Boot-Sektor gelesen werden, um eine FAT-Dateisystemanalyse zu starten?

Die genaue Positionen des Root Directory, Data Area und FAT. (C)

Nachdem eine Datei gelöscht wurde, wie wird der Status der dazugehörigen Cluster in der FAT-Tabelle markiert?

Als 'nicht allokiert' (0), wodurch sie für neue Daten wiederverwendbar sind. (D)

Welche Aufgabe hat der im Root Directory gefundene Directory Entry des Ordners 'dir1' bei der Dateilöschung von 'file1.txt'?

Er verweist auf den Cluster, in dem die Einträge für die Dateien und Verzeichnisse von 'dir1' gespeichert sind. (D)

Was geschieht direkt nach dem Identifizieren der Cluster-Kette einer gelöschten Datei im FAT-Dateisystem?

Der Status der betroffenen Cluster in der FAT wird geändert. (C)

Was ist der wesentliche Grund, warum die Root Directory Struktur im FAT Dateisystem untersucht wird?

Um den Directory Entry von 'dir1' und die dazugehörigen Inhalte zu finden. (A)

In welcher Reihenfolge werden die Schritte zur Dateilöschung im FAT Dateisystem durchgeführt?

Boot-Sektor auslesen, Directory-Eintrag suchen, Clusterkette identifizieren, FAT-Status ändern. (D)

Welche Funktion hat die FAT-Tabelle im Kontext der Cluster-Verwaltung bei der Dateilöschung?

Sie dient dazu, die Cluster-Kette der Datei zu identifizieren und deren Status zu ändern. (C)

Was wird im FAT-Eintrag gespeichert?

Der Allokierungsstatus eines Clusters (D)

Welcher Eintrag im FAT zeigt an, dass ein Cluster nicht allokiert ist?

0 (A)

Wie groß ist ein Directory Entry?

32 Byte (D)

Welche der folgenden Aussagen über die FAT-Struktur ist korrekt?

FAT besitzt einen Eintrag für jeden Cluster. (A)

Welcher Typ von Dateisystem verwendet 16 Bit Einträge?

FAT16 (B)

Welche Bedeutung haben die definierten Werte wie 0xFF7 im FAT-Eintrag?

Sie kennzeichnen einen beschädigten Cluster. (B)

Was ist Teil eines Directory Entries?

Dateinamensdaten und Zeitstempel (D)

Wie viele Bits werden im FAT32 für die Cluster-Allokierung verwendet?

28 Bit (B)

Welche der folgenden Aussagen über FAT-Dateisysteme ist falsch?

FAT-Dateisysteme werden hauptsächlich in modernen Betriebssystemen wie Windows 10 verwendet. (B)

Was bezeichnet der Begriff "Cluster" im Zusammenhang mit FAT-Dateisystemen?

Eine bestimmte Anzahl von Sektoren auf der Festplatte. (A)

Welche Funktion hat der FAT (File Allocation Table) in einem FAT-Dateisystem?

Er verwaltet die Zuordnung von Clustern zu Dateien. (A)

Welche der folgenden Optionen beschreibt die Struktur eines FAT-Dateisystems korrekt?

Dateien werden in Clustern gespeichert, die wiederum in Verzeichnissen organisiert sind. (A)

Welche der folgenden Aussagen über die Größe von FAT-Dateisystemen ist richtig?

Die Größe eines FAT-Dateisystems ist durch die Größe der Festplatte begrenzt. (D)

Was ist der Unterschied zwischen FAT12, FAT16 und FAT32?

FAT12, FAT16 und FAT32 unterscheiden sich in der Größe der Cluster, die sie verwenden. (D)

Welches der folgenden Elemente gehört nicht zur Struktur eines FAT-Dateisystems?

Swap-Datei (C)

Warum sind FAT-Dateisysteme für forensische Untersuchungen relevant?

Weil sie eine einfache Analyse der Dateistruktur und Zeitstempel erlauben. (D)

Was wird im Directory Entry angegeben?

Der erste Cluster der Datei (A)

Wie wird der nächste Cluster einer Datei im FAT angezeigt?

Durch den FAT-Eintrag (D)

Wann ist die Verkettung der Cluster einer Datei abgeschlossen?

Wenn der FAT-Eintrag EOF erreicht (B)

Wie wird die Dateigröße im Directory Entry behandelt, wenn ein neues Verzeichnis erstellt wird?

Sie bleibt vorläufig leer (C)

Was passiert mit dem 1. Cluster, wenn ein neues Verzeichnis erstellt wird?

Er wird allokiert und ausgenullt (A)

Welche der folgenden Aussagen trifft auf das Directory Entry zu?

Die ersten beiden Directory Entries gehören immer den Ordnern. (A)

Was bedeutet EOF im FAT-Kontext?

End of File (C)

Welche Aussage zum Directory Entry ist korrekt?

Es gibt spezifische Informationen über den Startpunkt der Datei. (A)

Flashcards

Was ist FAT?

FAT ist eine Familie von Dateisystemen, die verschiedene Versionen wie FAT12, FAT16 und FAT32 umfasst.

Wie unterscheiden sich Versionen von FAT?

Die verschiedenen FAT-Versionen unterscheiden sich in der Größe der Einträge in der FAT-Tabelle, die die Verknüpfung von Clusters für Dateien speichert.

Was sind Cluster im Zusammenhang mit FAT?

Das FAT-Dateisystem organisiert Daten auf der Festplatte in Blöcken, die als Cluster bezeichnet werden. Dateien bestehen aus einer Folge von Clustern.

Was ist die Funktion der FAT-Struktur?

Die FAT-Struktur enthält eine Tabelle, die die Zuordnung von Clustern zu Dateien verwaltet. Diese Tabelle dient als Verzeichnis und ermöglicht das Auffinden von Dateien auf dem Datenträger.

Was ist ein Directory Entry?

Ein Directory Entry enthält Informationen zu einer Datei, wie z.B. Dateiname, Größe, Erstellungsdatum und Startcluster.

Wie arbeiten FAT-Struktur, Directory Entries und Cluster zusammen?

Die FAT-Struktur, die Directory Entries und die Cluster arbeiten zusammen, um die Organisation der Dateien auf der Festplatte sicherzustellen.

Was ist EOF?

End of File (EOF) markiert das Ende einer Datei und signalisiert dem Betriebssystem, dass keine weiteren Daten folgen.

Welche Bedeutung haben FAT-Struktur und Dateiorganisation für die Forensik?

Die FAT-Struktur und die Dateiorganisation spielen eine wichtige Rolle bei der forensischen Datenermittlung, da sie Hinweise auf Dateimodifikationen und andere Aktivitäten auf dem Datenträger liefern.

Boot-Sektor

Der erste Sektor einer Partition, der Informationen über das Dateisystem enthält.

Dateisystemanalyse

Die Analyse des Dateisystems zielt darauf ab, die Konfiguration, den grundlegenden Aufbau und die Typen von Dateisystemen (FAT12, FAT16, FAT32 etc.) zu bestimmen.

Cluster

Eine Einheit zur Speicherung von Daten, die aus einem oder mehreren zusammenhängenden Sektoren besteht. Die Größe eines Clusters kann variieren und ist vom Dateisystem abhängig.

FAT-Tabelle

Die FAT-Tabelle (File Allocation Table) ist eine wichtige Tabelle, die Informationen darüber enthält, wo sich die Daten auf der Festplatte befinden. Sie speichert die Zuordnung von Clustern zu Dateien.

FAT Area

Ein spezifischer Bereich auf der Festplatte, der die FAT-Tabelle enthält und die Datenbereiche voneinander trennt.

Data Area

Die Festplatte ist in mehrere Bereiche geteilt, die aus verschiedenen Sektoren bestehen. Die Datenbereiche speichern die Inhalte der Dateien.

Root Directory

Der Root Directory ist ein wichtiger Verzeichnisbaum, der Informationen über alle Dateien und Verzeichnisse auf der Festplatte enthält.

Sektoradresse

Die Sektoradresse ist einzigartig und gibt die genaue Position eines Sektors auf der Festplatte an.

Wofür wird die FAT-Struktur verwendet?

Die FAT-Struktur speichert den Status der Cluster-Zuweisung in einem Dateisystem. Ein Eintrag in der FAT repräsentiert einen Cluster. Die Größe jedes Eintrags definiert den Typ des FAT-Dateisystems: 12 Bit für FAT12, 16 Bit für FAT16 und 32 Bit für FAT32 (mit 28 Bit tatsächlicher Nutzung).

Das Betriebssystem bestimmt die Cluster-Allokationsstrategie.

Wie repräsentiert die FAT-Struktur den Status eines Clusters?

Die FAT-Struktur beinhaltet Einträge, die den Allokierungsstatus eines Clusters repräsentieren. Jedes Dateisystem verwendet eine eindeutige Setzung von Werten für einen Cluster:

• 0: Nicht allokiert
• 0xFF7 (FAT12), 0xFFF7 (FAT16), 0x0FFF FFF7 (FAT32): Beschädigt
• Alle anderen Werte: Cluster ist belegt (Details in Metadaten)

Diese Werte zeigen an, ob ein Cluster frei ist, beschädigt oder für Daten verwendet wird.

Was ist ein Directory Entry im FAT-Dateisystem?

Ein Verzeichniseintrag (Directory Entry) enthält Informationen zu Dateien oder Ordnern, wie z.B. Zeitstempel, Adressen und Dateinamen. Im FAT-Dateisystem verfügt jeder Eintrag über eine feste Größe von 32 Byte und ist Teil eines Verzeichnisses. Diese Einträge ähneln einer Tabelle, da sie eine definierte Größe und Struktur haben.

Wie unterscheiden sich die FAT-Versionen FAT12, FAT16 und FAT32?

Die Größe eines Eintrags im FAT-Dateisystem bestimmt den Typ des Dateisystems. FAT12 verwendet 12 Bit, FAT16 16 Bit und FAT32 32 Bit (wobei 28 Bit tatsächlich genutzt werden). Die Größe des Eintrags beeinflusst die maximale Anzahl der Cluster, die ein Dateisystem unterstützen kann.

Was ist ein Cluster im FAT-Dateisystem?

Ein Cluster ist eine Einheit von Speicherplatz auf einer Festplatte, die im FAT-Dateisystem verwendet wird. Dateien bestehen aus einer Folge von Clustern. Die Größe eines Clusters variiert je nach Dateisystem.

Was ist die FAT?

Die FAT (File Allocation Table) ist eine Tabelle, die den Festplatten-Platz für jede Datei auf dem Datenträger verwaltet. Sie speichert für jeden Cluster Informationen darüber, ob er frei, belegt oder Teil einer bestimmten Datei ist.

Was sind Cluster in FAT?

Im FAT-Dateisystem werden Daten in Blöcke aufgeteilt, die als Cluster bezeichnet werden. Eine Datei besteht aus einer Folge von Clustern. Die FAT speichert die Zuordnung dieser Cluster zu Dateien.

Wie wird ein neues Verzeichnis in FAT erstellt?

Ein neues Verzeichnis wird erstellt, indem ein Cluster allokiert und mit Nullen gefüllt wird. Die Dateigröße wird im Directory Entry nicht gespeichert, sondern durch die Cluster-Verkettung bestimmt.

Wie wird das Ende einer Datei im FAT-System gekennzeichnet?

Ein Cluster mit dem Wert EOF markiert das Ende einer Datei. Der letzte Cluster enthält diesen Wert, der dem Betriebssystem signalisiert, dass keine weiteren Daten folgen.

Wie funktioniert die Verkettung von Clustern in FAT?

Die Datei wird im Directory Entry mit dem ersten Cluster der Datei verlinkt. Der Eintrag in der FAT zeigt dann auf den nächsten Cluster der Datei, der ebenfalls einen Eintrag in der FAT hat. So wird die Verkettung der Cluster bis zum EOF-Eintrag fortgesetzt.

Wie wird die Größe eines Verzeichnisses im FAT-System bestimmt?

Die Größe eines Verzeichnisses kann nicht direkt im Directory Entry ermittelt werden, sondern wird durch die Cluster-Verkettung bestimmt. Die Verkettung beginnt mit dem ersten Cluster des Verzeichnisses und enthält die Informationen zu den enthaltenen Dateien.

Wie funktioniert das Löschen von Verzeichniseinträgen in FAT?

Wenn ein Verzeichniseintrag gelöscht wird, wird nur das erste Byte des Eintrags überschrieben. Das bedeutet, dass die restlichen Informationen im Eintrag noch vorhanden sind und mit speziellen Tools wiederhergestellt werden können.

Wie werden Dateinamen mit Metadaten in FAT kombiniert?

Eine Datei kann mit ihrer Metadaten-Struktur über die Daten des Dateinamens identifiziert werden. Diese Informationen werden im FAT-System unter der Nummer des Verzeichniseintrags im Directory Entries zusammengeführt.

Wie werden Dateien in FAT-Dateisystemen gespeichert?

Bei FAT-Dateisystemen wird die Datei in einzelne Blöcke, genannt Cluster, aufgeteilt. Die Startcluster der Datei wird in Directory Entries gespeichert.

Wie kann man gelöschte Ordnereinträge in FAT wiederherstellen?

Um verlorene Verzeichniseinträge zu finden, wird im nicht-allokierten Bereich nach den Einträgen für '.' und '..' gesucht. Diese Einträge stehen für das aktuelle Verzeichnis und das übergeordnete Verzeichnis.

Wie ist die maximale Länge des Dateinamens in FAT?

Der Dateiname kann maximal 8 Buchstaben lang sein, und optional kann eine 3-buchstabige Endung (z.B. .txt, .jpg) angefügt werden.

Was ist der Boot-Sektor?

Der Boot-Sektor ist der erste Sektor einer Partition, der wichtige Informationen über das Dateisystem enthält, z.B. die Position der FAT-Tabelle, des Root Directorys und des Datenbereichs.

Was ist die FAT-Tabelle?

Die FAT-Tabelle ist eine Tabelle, die die Zuordnung von Clustern zu Dateien speichert. Sie ermöglicht das Auffinden der Daten auf der Festplatte.

Was sind Cluster?

Cluster sind Blöcke auf der Festplatte, die zur Speicherung von Daten verwendet werden. Dateien bestehen aus einer Kette von Clustern.

Was ist das Root Directory?

Das Root Directory ist ein spezielles Verzeichnis, das Informationen über alle Dateien und Unterverzeichnisse auf der Festplatte enthält.

Was ist die Data Area?

Die Data Area ist der Bereich auf der Festplatte, in dem die Inhalte der Dateien gespeichert werden.

Wie funktioniert das Löschen einer Datei im FAT-Dateisystem?

Das Löschen einer Datei im FAT-Dateisystem erfolgt durch das Zurücksetzen der Cluster der Datei in der FAT-Tabelle auf den unbenutzten Status (0) und das Markieren des Directory Entry als gelöscht.

Wie wird eine Datei in der FAT-Tabelle gespeichert und gelöscht?

Das FAT-Dateisystem speichert die Datei „file1.txt“ im Cluster 200, 201 und 202. Die FAT-Tabelle enthält die Links: 200 → 201, 201 → 202, 202 → EOF. Um die Datei zu löschen, werden die Links in der FAT-Tabelle auf 0 gesetzt, was bedeutet, dass die Cluster wieder verfügbar sind.

Study Notes

FAT-Dateisystem

• Das FAT (File Allocation Table) Dateisystem ist ein sehr einfaches Dateisystem.
• Es wurde früher standardmäßig bei Microsoft Betriebssystemen (z. B. Windows 9x) verwendet.
• Es ist immer noch häufig auf tragbaren Datenträgern zu finden.

FAT-Aufbau

• Der Aufbau des FAT-Dateisystems benötigt nur sehr wenige Strukturen.
• Die Abstraktion in Kategorien ist teilweise schwierig.
• Die zentralen Elemente sind die File Allocation Table (FAT) und die Directory Entries.

Directory Entries

• Jede Datei und jeder Ordner hat mindestens einen Eintrag (Directory Entry).
• Dieser Eintrag enthält den Dateinamen, die Dateigröße und die Startadresse des Inhalts.

Cluster und FAT

• Die Inhalte von Dateien werden in Clustern gespeichert.
• Wenn eine Datei größer als ein Cluster ist, werden mehrere Cluster verwendet.
• Die FAT verwaltet die Einträge der zugehörigen Cluster.
• Die FAT identifiziert den nächsten Cluster einer Datei und den Allokierungsstatus jedes Clusters.
• Die FAT enthält Informationen über Inhalt und Metadaten der Datei.

Versionen von FAT

• Es gibt verschiedene FAT-Versionen, z. B. FAT12, FAT16 und FAT32.
• Diese unterscheiden sich in der Größe der Einträge im FAT.
• Alle Dateisysteme dieser Familie haben einen ähnlichen Aufbau.

Layout des Dateisystems

• Ein typisches Dateisystem besteht aus drei Bereichen: Reservierter Bereich (Reserved Area), FAT-Bereich (FAT Area) und Datenbereich (Data Area).

Boot-Sektor

• Der Boot-Sektor ist der erste Sektor eines Datenträgers.
• Er enthält Informationen über das Dateisystem, z. B. die Größe des Reserved Area und die Informationen zum FAT.
• Manchmal werden diese Daten auch als BIOS Parameter Block (BPB) bezeichnet.

Reserved Area und FAT Area

• Die Reserved Area beginnt in Sektor 0.
• Die Größe der Reserved Area ist im Boot-Sektor festgelegt.
• Die FAT Area enthält die FAT-Strukturen.

Data Area

• Die Data Area beinhaltet die Cluster und die Daten der Dateien und Ordner.
• Die Cluster bestehen aus aufeinanderfolgenden Sektoren.
• Die Anzahl der Sektoren pro Cluster ist im Boot-Sektor definiert.

Root-Verzeichnis

• Das FAT12/FAT16 Root-Verzeichnis (Root Directory) beginnt im ersten Cluster der Datenbereichs.
• Das FAT32 Root-Verzeichnis kann sich innerhalb des Datenbereichs befinden.
• Vorteil von FAT32: Root-Ordner ist nicht in der Größe begrenzt und kann bei defekten Sektoren angepasst werden.
• Die Adresse des Root-Ordners wird im Boot-Sektor angegeben.

Cluster-Adressen und -Identifizierung

• Clusterdaten beziehen sich auf die Daten und Ordner.
• Cluster werden durch Dateneinheiten definiert.
• Laut Microsoft hat ein Cluster eine maximale Größe von 32 kB.
• Jeder Cluster hat eine eindeutige Adresse.
• Der erste Cluster einer Datei befindet sich nicht am Anfang des Dateisystems, sondern am Anfang der Data Area.
• Der reservierte Bereich und der FAT Bereich haben keine Cluster-Adressierung.
• Nicht jede Logische Volume Adresse (LVA) hat eine Logische File System Adresse (LFSA)

Status der Allokierung

• Die FAT-Struktur wird verwendet, um den Status der Allokierung eines Clusters zu speichern.
• Jeder Cluster hat einen Eintrag in der FAT, der den Typ des Dateisystems angibt (z.B. 12 Bit → FAT12; 16 Bit → FAT16; 32 Bit → FAT32).
• Die Allokierungsstrategie wird vom Betriebssystem bestimmt.
• Definierte Werte des FAT-Eintrags geben an, ob ein Cluster allokiert (0x0FFF FFF7 FAT32) oder nicht allokiert (0) ist.

Directory Entry - Metadaten

• Directory Entries enthalten Zeitstempel und Adressen, die zu Dateien oder Ordnern gehören.
• Ein Directory Entry hat eine Größe von 32 Byte
• Die Dateinamen sind auch Teil des Directory Entries.
• Der Aufbau des Directory Entry ist ähnlich einer Tabelle.

Directory Entry - Ordner

• Ordner sind eine spezielle Form einer Datei.
• Directory Entries eines Ordners können überall in der Data Area positioniert sein.
• Ein Eintrag eines Ordners wird im Cluster des übergeordneten Ordners gesetzt.

Directory Entry - Inhalte

• Einträge besitzen keine explizite Adresse innerhalb des Directory Entries; sie werden nach dem Namen identifiziert.
• Der Inhalt eines Eintrags beinhaltet z.B. den Dateinamen, Attribute (z.B. Ordner), Zeiten, die Adresse des ersten Clusters und die Größe (z.B. 4 Byte ≈ 4 GB).

Directory Entry - Zeiten und Status

• Zeitstempel für Erstelldatum, Letzter Zugriff und Änderungsdatum haben unterschiedliche Genauigkeit.
• Allokierte Dateieinträge werden auf 0xE5 gesetzt.
• Nicht allozierte Dateieinträge werden aus dem Eintrag entfernt.

Verkettung

• Der erste Cluster einer Datei wird im Directory Entry gespeichert.
• Die anderen Cluster einer Datei sind über die FAT miteinander verkettet.
• Die Verkettung endet am Eintrag EOF (End of File).

Verzeichnisse

• Erstellung eines neuen Verzeichnisses:
  • Cluster wird allokiert und gelöscht.
  • Die Dateigröße wird im Directory Entry nicht gesetzt (nur durch Clusterkette ermittelt).
  • Die ersten Directory Entries gehören zum neuen Verzeichnis, und die folgenden zum übergeordneten Verzeichnis.
  • Die Zeiten entsprechen dem Erstelldatum des Verzeichnisses.
• Verzeichnisidentifikation: Verzeichnisse werden durch ihre Dateinamen identifiziert. Bei Löschung eines Verzeichniseintrags wird nur das erste Byte substituiert → Namenskonfliktproblem.

Dateien

• Daten der Dateinamensdaten werden genutzt um einen Dateinamen mit einer Metadatenstruktur zu verbinden.
  • Der FAT speichert diese Daten zusammen in Directory Entries.
  • Die maximale Länge eines Dateinamens ist 8 Buchstaben + drei Buchstaben Endung, getrennt durch einen Punkt.

Long File Name und Short File Name

• LFN (Long File Namen): Längere Dateinamen werden als LFN in Form eines Directory Entry gespeichert und können mehrfach vorkommen.
  • genutzt auch für Unicode.
  • Sequenznummer wird verwendet um LFN zu markieren, da andere Metadaten nur einmal gespeichert werden.
• SFN (Short File Namen): SFN ist ebenfalls notwendig, da andere Metadaten nur einmal im Directory Entry abgelegt werden können.

Erstellung und Löschen einer Datei

• Erstellung: Boot-Sektor, Directory Entry und FAT werden genutzt um die Datei zu erstellen und die Daten im FAT zu verketten.
• Löschen: Boot-Sektor, Directory Entry und FAT werden genutzt um die Datei zu löschen und den Status der Allokierung auf nicht-allokiert zu setzen

Description

Teste dein Wissen über die Analyse von Dateisystemdaten im FAT-Dateisystem. Beantworte Fragen zu Clustergrößen, der FAT Area und der Wiederherstellung gelöschter Ordner. Dieser Quiz hilft dir, die Grundlagen und Funktionsweisen des FAT-Dateisystems besser zu verstehen.