101 - Dateisystemanalyse im FAT-Dateisystem - Kapitel 4

Questions and Answers

Welches ist das Hauptziel der Analyse von Dateisystemdaten?

Die Identifizierung der verwendeten Verschlüsselungstechnik

Die Wiederherstellung gelöschter Dateien

Die Ermittlung der Konfiguration und des grundlegenden Aufbaus des Dateisystems (correct)

Die Analyse der Netzwerkaktivitäten des Systems

Welches Element wird als erstes bei der Analyse des Dateisystems untersucht?

Die Data Area

Die FAT Area

Der Boot-Sektor (correct)

Die Root Directory

Was ist ein Cluster im Kontext von Dateisystemen?

Eine Gruppe von Sektoren, die eine logische Dateneinheit bilden (correct)

Ein einzelner Sektor auf der Festplatte

Ein Programm, das die Verwaltung von Dateien übernimmt

Ein Verzeichnis, das Dateien und Ordner enthält

Welche Aussage zur Clustergröße ist korrekt?

Die maximale Clustergröße ist 32 kB, gemäß den Spezifikationen von Microsoft

Welchen Zweck erfüllt die FAT Area?

Sie speichert Informationen über die Zuordnung von Clustern zu Dateien und Ordnern.

Welcher Bereich enthält die Root Directory in FAT12/FAT16?

Unmittelbar nach der FAT Area

Welche Art von Daten werden in der Inhaltsdatenauswertung betrachtet?

Die Daten, die in den Dateien und Ordnern gespeichert sind

Welche Aussage zu den Cluster-Adressen in FAT12/FAT16 ist korrekt?

Die Cluster-Adressen in FAT12/FAT16 werden durch Informationen in der FAT Area bestimmt.

Wie werden Verzeichnisse in einem FAT-Dateisystem identifiziert?

Durch den Datei-/Ordnernamen.

Was passiert beim Löschen eines Eintrags in einem FAT-Dateisystem?

Nur das erste Byte des Eintrags wird substituiert.

Wie können gelöschte Ordner in einem FAT-Dateisystem wiederhergestellt werden?

Durch die Suche nach Einträgen für '.' und '..' im nicht-allokierten Bereich.

Wie werden Dateinamen und Metadaten in einem FAT-Dateisystem miteinander verknüpft?

Durch die Speicherung beider Daten in Directory Entries zusammen.

Welche maximale Länge hat ein Dateiname im klassischen FAT-Dateisystem?

8 Zeichen für den Dateinamen plus 3 Zeichen für die Endung.

Welche Aktion wird nicht direkt durch das Löschen einer Datei im FAT-Dateisystem durchgeführt?

Der Inhalt der Datei in den Clustern wird sofort überschrieben.

Welche Information muss zwingend aus dem Boot-Sektor gelesen werden, um eine FAT-Dateisystemanalyse zu starten?

Die genaue Positionen des Root Directory, Data Area und FAT.

Nachdem eine Datei gelöscht wurde, wie wird der Status der dazugehörigen Cluster in der FAT-Tabelle markiert?

Als 'nicht allokiert' (0), wodurch sie für neue Daten wiederverwendbar sind.

Welche Aufgabe hat der im Root Directory gefundene Directory Entry des Ordners 'dir1' bei der Dateilöschung von 'file1.txt'?

Er verweist auf den Cluster, in dem die Einträge für die Dateien und Verzeichnisse von 'dir1' gespeichert sind.

Was geschieht direkt nach dem Identifizieren der Cluster-Kette einer gelöschten Datei im FAT-Dateisystem?

Der Status der betroffenen Cluster in der FAT wird geändert.

Was ist der wesentliche Grund, warum die Root Directory Struktur im FAT Dateisystem untersucht wird?

Um den Directory Entry von 'dir1' und die dazugehörigen Inhalte zu finden.

In welcher Reihenfolge werden die Schritte zur Dateilöschung im FAT Dateisystem durchgeführt?

Boot-Sektor auslesen, Directory-Eintrag suchen, Clusterkette identifizieren, FAT-Status ändern.

Welche Funktion hat die FAT-Tabelle im Kontext der Cluster-Verwaltung bei der Dateilöschung?

Sie dient dazu, die Cluster-Kette der Datei zu identifizieren und deren Status zu ändern.

Was wird im FAT-Eintrag gespeichert?

Der Allokierungsstatus eines Clusters

Welcher Eintrag im FAT zeigt an, dass ein Cluster nicht allokiert ist?

0

Wie groß ist ein Directory Entry?

32 Byte

Welche der folgenden Aussagen über die FAT-Struktur ist korrekt?

FAT besitzt einen Eintrag für jeden Cluster.

Welcher Typ von Dateisystem verwendet 16 Bit Einträge?

FAT16

Welche Bedeutung haben die definierten Werte wie 0xFF7 im FAT-Eintrag?

Sie kennzeichnen einen beschädigten Cluster.

Was ist Teil eines Directory Entries?

Dateinamensdaten und Zeitstempel

Wie viele Bits werden im FAT32 für die Cluster-Allokierung verwendet?

28 Bit

Welche der folgenden Aussagen über FAT-Dateisysteme ist falsch?

FAT-Dateisysteme werden hauptsächlich in modernen Betriebssystemen wie Windows 10 verwendet.

Was bezeichnet der Begriff "Cluster" im Zusammenhang mit FAT-Dateisystemen?

Eine bestimmte Anzahl von Sektoren auf der Festplatte.

Welche Funktion hat der FAT (File Allocation Table) in einem FAT-Dateisystem?

Er verwaltet die Zuordnung von Clustern zu Dateien.

Welche der folgenden Optionen beschreibt die Struktur eines FAT-Dateisystems korrekt?

Dateien werden in Clustern gespeichert, die wiederum in Verzeichnissen organisiert sind.

Welche der folgenden Aussagen über die Größe von FAT-Dateisystemen ist richtig?

Die Größe eines FAT-Dateisystems ist durch die Größe der Festplatte begrenzt.

Was ist der Unterschied zwischen FAT12, FAT16 und FAT32?

FAT12, FAT16 und FAT32 unterscheiden sich in der Größe der Cluster, die sie verwenden.

Welches der folgenden Elemente gehört nicht zur Struktur eines FAT-Dateisystems?

Swap-Datei

Warum sind FAT-Dateisysteme für forensische Untersuchungen relevant?

Weil sie eine einfache Analyse der Dateistruktur und Zeitstempel erlauben.

Was wird im Directory Entry angegeben?

Der erste Cluster der Datei

Wie wird der nächste Cluster einer Datei im FAT angezeigt?

Durch den FAT-Eintrag

Wann ist die Verkettung der Cluster einer Datei abgeschlossen?

Wenn der FAT-Eintrag EOF erreicht

Wie wird die Dateigröße im Directory Entry behandelt, wenn ein neues Verzeichnis erstellt wird?

Sie bleibt vorläufig leer

Was passiert mit dem 1. Cluster, wenn ein neues Verzeichnis erstellt wird?

Er wird allokiert und ausgenullt

Welche der folgenden Aussagen trifft auf das Directory Entry zu?

Die ersten beiden Directory Entries gehören immer den Ordnern.

Was bedeutet EOF im FAT-Kontext?

End of File

Welche Aussage zum Directory Entry ist korrekt?

Es gibt spezifische Informationen über den Startpunkt der Datei.

Study Notes

FAT-Dateisystem

• Das FAT (File Allocation Table) Dateisystem ist ein sehr einfaches Dateisystem.
• Es wurde früher standardmäßig bei Microsoft Betriebssystemen (z. B. Windows 9x) verwendet.
• Es ist immer noch häufig auf tragbaren Datenträgern zu finden.

FAT-Aufbau

• Der Aufbau des FAT-Dateisystems benötigt nur sehr wenige Strukturen.
• Die Abstraktion in Kategorien ist teilweise schwierig.
• Die zentralen Elemente sind die File Allocation Table (FAT) und die Directory Entries.

Directory Entries

• Jede Datei und jeder Ordner hat mindestens einen Eintrag (Directory Entry).
• Dieser Eintrag enthält den Dateinamen, die Dateigröße und die Startadresse des Inhalts.

Cluster und FAT

• Die Inhalte von Dateien werden in Clustern gespeichert.
• Wenn eine Datei größer als ein Cluster ist, werden mehrere Cluster verwendet.
• Die FAT verwaltet die Einträge der zugehörigen Cluster.
• Die FAT identifiziert den nächsten Cluster einer Datei und den Allokierungsstatus jedes Clusters.
• Die FAT enthält Informationen über Inhalt und Metadaten der Datei.

Versionen von FAT

• Es gibt verschiedene FAT-Versionen, z. B. FAT12, FAT16 und FAT32.
• Diese unterscheiden sich in der Größe der Einträge im FAT.
• Alle Dateisysteme dieser Familie haben einen ähnlichen Aufbau.

Layout des Dateisystems

• Ein typisches Dateisystem besteht aus drei Bereichen: Reservierter Bereich (Reserved Area), FAT-Bereich (FAT Area) und Datenbereich (Data Area).

Boot-Sektor

• Der Boot-Sektor ist der erste Sektor eines Datenträgers.
• Er enthält Informationen über das Dateisystem, z. B. die Größe des Reserved Area und die Informationen zum FAT.
• Manchmal werden diese Daten auch als BIOS Parameter Block (BPB) bezeichnet.

Reserved Area und FAT Area

• Die Reserved Area beginnt in Sektor 0.
• Die Größe der Reserved Area ist im Boot-Sektor festgelegt.
• Die FAT Area enthält die FAT-Strukturen.

Data Area

• Die Data Area beinhaltet die Cluster und die Daten der Dateien und Ordner.
• Die Cluster bestehen aus aufeinanderfolgenden Sektoren.
• Die Anzahl der Sektoren pro Cluster ist im Boot-Sektor definiert.

Root-Verzeichnis

• Das FAT12/FAT16 Root-Verzeichnis (Root Directory) beginnt im ersten Cluster der Datenbereichs.
• Das FAT32 Root-Verzeichnis kann sich innerhalb des Datenbereichs befinden.
• Vorteil von FAT32: Root-Ordner ist nicht in der Größe begrenzt und kann bei defekten Sektoren angepasst werden.
• Die Adresse des Root-Ordners wird im Boot-Sektor angegeben.

Cluster-Adressen und -Identifizierung

• Clusterdaten beziehen sich auf die Daten und Ordner.
• Cluster werden durch Dateneinheiten definiert.
• Laut Microsoft hat ein Cluster eine maximale Größe von 32 kB.
• Jeder Cluster hat eine eindeutige Adresse.
• Der erste Cluster einer Datei befindet sich nicht am Anfang des Dateisystems, sondern am Anfang der Data Area.
• Der reservierte Bereich und der FAT Bereich haben keine Cluster-Adressierung.
• Nicht jede Logische Volume Adresse (LVA) hat eine Logische File System Adresse (LFSA)

Status der Allokierung

• Die FAT-Struktur wird verwendet, um den Status der Allokierung eines Clusters zu speichern.
• Jeder Cluster hat einen Eintrag in der FAT, der den Typ des Dateisystems angibt (z.B. 12 Bit → FAT12; 16 Bit → FAT16; 32 Bit → FAT32).
• Die Allokierungsstrategie wird vom Betriebssystem bestimmt.
• Definierte Werte des FAT-Eintrags geben an, ob ein Cluster allokiert (0x0FFF FFF7 FAT32) oder nicht allokiert (0) ist.

Directory Entry - Metadaten

• Directory Entries enthalten Zeitstempel und Adressen, die zu Dateien oder Ordnern gehören.
• Ein Directory Entry hat eine Größe von 32 Byte
• Die Dateinamen sind auch Teil des Directory Entries.
• Der Aufbau des Directory Entry ist ähnlich einer Tabelle.

Directory Entry - Ordner

• Ordner sind eine spezielle Form einer Datei.
• Directory Entries eines Ordners können überall in der Data Area positioniert sein.
• Ein Eintrag eines Ordners wird im Cluster des übergeordneten Ordners gesetzt.

Directory Entry - Inhalte

• Einträge besitzen keine explizite Adresse innerhalb des Directory Entries; sie werden nach dem Namen identifiziert.
• Der Inhalt eines Eintrags beinhaltet z.B. den Dateinamen, Attribute (z.B. Ordner), Zeiten, die Adresse des ersten Clusters und die Größe (z.B. 4 Byte ≈ 4 GB).

Directory Entry - Zeiten und Status

• Zeitstempel für Erstelldatum, Letzter Zugriff und Änderungsdatum haben unterschiedliche Genauigkeit.
• Allokierte Dateieinträge werden auf 0xE5 gesetzt.
• Nicht allozierte Dateieinträge werden aus dem Eintrag entfernt.

Verkettung

• Der erste Cluster einer Datei wird im Directory Entry gespeichert.
• Die anderen Cluster einer Datei sind über die FAT miteinander verkettet.
• Die Verkettung endet am Eintrag EOF (End of File).

Verzeichnisse

• Erstellung eines neuen Verzeichnisses:
  • Cluster wird allokiert und gelöscht.
  • Die Dateigröße wird im Directory Entry nicht gesetzt (nur durch Clusterkette ermittelt).
  • Die ersten Directory Entries gehören zum neuen Verzeichnis, und die folgenden zum übergeordneten Verzeichnis.
  • Die Zeiten entsprechen dem Erstelldatum des Verzeichnisses.
• Verzeichnisidentifikation: Verzeichnisse werden durch ihre Dateinamen identifiziert. Bei Löschung eines Verzeichniseintrags wird nur das erste Byte substituiert → Namenskonfliktproblem.

Dateien

• Daten der Dateinamensdaten werden genutzt um einen Dateinamen mit einer Metadatenstruktur zu verbinden.
  • Der FAT speichert diese Daten zusammen in Directory Entries.
  • Die maximale Länge eines Dateinamens ist 8 Buchstaben + drei Buchstaben Endung, getrennt durch einen Punkt.

Long File Name und Short File Name

• LFN (Long File Namen): Längere Dateinamen werden als LFN in Form eines Directory Entry gespeichert und können mehrfach vorkommen.
  • genutzt auch für Unicode.
  • Sequenznummer wird verwendet um LFN zu markieren, da andere Metadaten nur einmal gespeichert werden.
• SFN (Short File Namen): SFN ist ebenfalls notwendig, da andere Metadaten nur einmal im Directory Entry abgelegt werden können.

Erstellung und Löschen einer Datei

• Erstellung: Boot-Sektor, Directory Entry und FAT werden genutzt um die Datei zu erstellen und die Daten im FAT zu verketten.
• Löschen: Boot-Sektor, Directory Entry und FAT werden genutzt um die Datei zu löschen und den Status der Allokierung auf nicht-allokiert zu setzen

Description

Teste dein Wissen über die Analyse von Dateisystemdaten im FAT-Dateisystem. Beantworte Fragen zu Clustergrößen, der FAT Area und der Wiederherstellung gelöschter Ordner. Dieser Quiz hilft dir, die Grundlagen und Funktionsweisen des FAT-Dateisystems besser zu verstehen.