Kapitel 04 - Dateisystemanalyse FAT PDF
Document Details
Uploaded by EntrancingOnyx2948
Hochschule Niederrhein
Prof. Dr. Fein
Tags
Summary
This document provides an analysis of the FAT file system, including its structure, functionality, and related concepts. It also details various aspects for understanding and analyzing FAT file systems. It details the file allocation table, clusters, and other components in FAT systems, as well as practical aspects like file creation/deletion.
Full Transcript
4.1 DATEISYSTEMANALYSE FAT — KONZEPT 1 EINFÜHRUNG ▶ File Allocation Table ▶ Sehr einfaches Dateisystem ▶ Früher der Standard bei Microsoft Betriebssystemen (Windows 9x...
4.1 DATEISYSTEMANALYSE FAT — KONZEPT 1 EINFÜHRUNG ▶ File Allocation Table ▶ Sehr einfaches Dateisystem ▶ Früher der Standard bei Microsoft Betriebssystemen (Windows 9x) ▶ Immer noch sehr oft zu finden (z.B. auf portablen Datenträgern) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 2 AUFBAU ▶ Sehr geringe Anzahl an Strukturen notwendig ▶ Die Abstraktion in die fünf Kategorien ist z.T. schwierig ▶ Zentrale Elemente: File Allocation Table (FAT) Directory Entries X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 3 DIRECTORY ENTRIES ▶ Jede Datei und jeder Ordner besitzt (mindestens) einen Dateneintrag (directory entry) ▶ Inhalte (u.a.): Dateiname Dateigröße Startadresse des Inhalts X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 4 CLUSTER UND FAT ▶ Inhalte werden in sog. Clustern gespeichert ▶ Wenn mehr als ein Cluster genutzt werden muss: Weitere dazugehörige Einträge im FAT ▶ Aufgabe des FAT: Identifizierung des nächsten Clusters einer Datei Allokierungsstatus der einzelnen Cluster ▶ Daher: Informationen zu Inhalt- und Metadaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 5 VERSIONEN VON FAT ▶ Versionen von FAT: FAT12 FAT16 FAT32 ▶ Unterschiede in der Größe der Einträge im FAT ▶ Alle Dateisysteme der Familie haben einen ähnlichen Aufbau X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 6 ÜBERSICHT ZU FAT Clusters FAT Structure Cluster 34 Directory Entry Structures 4,000 file1.dat bytes Cluster 34 35 EOF Cluster 35 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 7 LAYOUT DES DATEISYSTEMS ▶ Grundsätzliches Layout: Reserved Area FAT Area Data Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 8 LAYOUT DES DATEISYSTEMS Reserved Area FAT Area Data Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 9 BOOT-SEKTOR ▶ Boot-Sektor → erster Sektor des Volumes ▶ Teil der Reserved Area (Hauptsächlich Daten der Dateisystem-Kategorie) ▶ Andere Benennung mancher Daten nach Microsoft: BIOS Parameter Block (BPB) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 12 RESERVED AREA UND FAT AREA ▶ Reserved Area startet in Sektor 0 ▶ Größe Reserved Area ist im Boot-Sektor angegeben: FAT12/16 → normalerweise 1 Sektor FAT32 → Mehrere Sektoren ▶ FAT Area beinhaltet eine oder mehrere FAT-Strukturen ▶ FAT Area beginnt im ersten Sektor nach der Reserved Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 13 DATA AREA ▶ Data Area beinhaltet die Cluster ▶ Cluster bestehen aus aufeinanderfolgenden Sektoren ▶ Cluster werden genutzt, um Datei- und Ordnerinhalte zu speichern ▶ Anzahl der Sektoren pro Cluster ist ebenfalls im Boot-Sektor definiert X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 14 BESONDERHEIT: ROOT-VERZEICHNIS ▶ FAT12/16 → Root-Verzeichnis (Root Directory) startet im ersten Cluster der Data Area ▶ FAT32 → Root-Verzeichnis kann sich überall befinden (startet meist aber im ersten Cluster) ▶ Vorteil der Dynamik bei FAT32 → Root-Ordner ist nicht in der Größe begrenzt und kann an defekte Sektoren angepasst werden ▶ Adresse des Root-Ordners ist im Boot-Sektor angegeben, Größe durch dazugehörige FAT-Struktur X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 15 ROOT-DIRECTORY IN FAT12/FAT16 Root Directory Reserved Area FAT Area Data Area Num of Sectors Num of in File System Num of Root Reserved Sectors FATS * Size Directory Entries of each FAT X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 16 ROOT-DIRECTORY IN FAT32 Root Directory Reserved Area FAT Area Data Area Num of Sectors in File System Num of Root Directory Reserved Sectors FATS * Size Starting Location of each FAT X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 17 ESSENTIELLE DATEN DES BOOT-SEKTOR – ÜBERSICHT ▶ Anfang der Reserved Area → immer Sektor 0 ▶ Größe der Reserved Area FAT12/FAT16 → normalerweise ein Sektor FAT32 → normalerweise mehrere Sektoren ▶ Größe der FAT Area durch Produkt aus: Anzahl der FATs Größe eines FAT ▶ Größe der Data Area durch Differenz aus: Startadresse der Data Area Anzahl der Sektoren ▶ Anzahl der Sektoren pro Cluster X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 20 ANALYSE ▶ Die Analyse der Dateisystemdaten hat immer das Ziel die Konfiguration und des grundlegenden Aufbau zu ermöglichen ▶ Boot-Sektor ist erster Sektor der Partition ▶ Erster Schritt: Analyse des Boot-Sektors ▶ Ziel: Bestimmung des Dateisystemtyps (FAT12/FAT16/FAT32) Layout der weiteren Bereiche (FAT Area und Data Area) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 27 CLUSTER ▶ Inhaltsdaten beschäftigen sich mit den (expliziten) Daten der Dateien und Ordner ▶ Dateneinheiten sind durch Cluster definiert ▶ Ein Cluster kann aus 1, 2, 4, 8, …oder 64 Sektoren bestehen ▶ Laut Microsoft ist eine maximale Clustergröße von 32 kB (also 64 · 512 Byte) spezifiziert ▶ Jedem Cluster ist eine Adresse zugeordnet X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 28 CLUSTER-ADRESSEN IN FAT12/FAT16 Reserved Area FAT Area Root Directory Data Area Sektor 1224 Sektor 1256 Cluster 2 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 29 CLUSTER-ADRESSEN IN FAT32 Reserved Area FAT Area Root Directory Data Area Sektor 1224 Cluster 2 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 30 IDENTIFIZIERUNG DES ERSTEN CLUSTERS/ADRESSIERUNG ▶ Erster Cluster liegt nicht am Begin des Dateisystems, sondern am Anfang der Data Area ▶ Reserved Area und FAT Area besitzen keine Cluster-Adressierung → Nicht jede Logical Volume Address besitzt eine Logical File System Address! X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 31 IDENTIFIZIERUNG DES ERSTEN CLUSTERS/ADRESSIERUNG ▶ FAT32: Erster Cluster startet mit dem ersten Sektor der Data Area ▶ FAT12/FAT16: Im ersten Sektor der Data Area startet das Root-Verzeichnis des Dateisystems Anzahl der Einträge im Root-Verzeichnis ist im Boot-Sektor definiert Cluster 2 beginnt nach den Einträgen des Root-Verzeichnisses X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 34 STATUS DER ALLOKIERUNG ▶ Die FAT-Struktur wird genutzt um den Allokierungsstatus eines Clusters zu speichern ▶ FAT besitzt einen Eintrag für jeden Cluster des Dateisystems ▶ Die Größe eines Eintrags im FAT ergibt den Typ des Dateisystems: 12 Bit → FAT12 16 Bit → FAT16 32 Bit → FAT32 (28 Bit werden genutzt) ▶ Allokierungsstrategie wird durch das Betriebssystem bestimmt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.3 DATEISYSTEMANALYSE FAT — INHALTSDATEN 35 STATUS DER ALLOKIERUNG Definierte Werte des FAT-Eintrags: ▶ Nicht allokiert 0 ▶ Beschädigt 0xFF7 (FAT12) 0xFFF7 (FAT16) 0x0FFF FFF7 (FAT32) ▶ Cluster ist belegt Alle anderen Werte (mehr bei den Metadaten) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 37 DIRECTORY ENTRY ▶ Zeitstempel und Adressen, die zu Dateien oder Ordner gehören ▶ Nutzung eines Directory Entry (Verzeichniseintrag) ▶ Größe: 32 Byte ▶ Auch die Dateinamen (Dateinamensdaten) sind Teil des Directory Entries ▶ Aufbau ähnlich einer Tabelle, da ein Directory Entry eine definierte Größe besitzt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 38 DIRECTORY ENTRY – ORDNER ▶ Ordner sind eine spezielle Form einer Datei ▶ Ein Directory Entry eines Ordners kann überall in der Data Area vorhanden sein ▶ Wird als Eintrag im Cluster des übergeordneten Ordners gesetzt ▶ Vorgehen bei neuer Datei: Allokierung eines Directory Entries im Elternverzeichnis X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 39 DIRECTORY ENTRY – INHALTE ▶ Einträge besitzen keine explizite Adresse ▶ Einträge werden anhand des Datei-/Ordnernamens identifiziert ▶ Inhalte des Eintrags (Auszug): Dateiname Dateiattribute (z.B. Ordner) Zeiten Adresse des ersten Clusters Größe (4 Byte→ 232 ≈ 4 GB) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 43 DIRECTORY ENTRY – ZEITEN UND STATUS ▶ Zeitstempel haben unterschiedliche Genauigkeit ▶ Zeitangaben: Erstelldatum (optional, genau auf Zehntelsekunde) Letzter Zugriff (optional, genau auf Tag) Änderungsdatum (nicht optional, genau auf zwei Sekunden) ▶ Jahresangaben haben einen Offset von 1980 ▶ Allokierungsstatus ist durch das erste Byte gesetzt: Erster Buchstabe des Dateinamens wenn allokiert 0xE5 wenn nicht allokiert → Erster Buchstabe fehlt, wenn Eintrag nicht weiter genutzt wird X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 46 VERKETTUNG ▶ Im Directory Entry wird der erste Cluster der Datei angegeben ▶ Die weiteren genutzten Cluster werden mit Hilfe des FAT angezeigt ▶ Der Eintrag im FAT zeigt jeweils auf das nächste Cluster ▶ Verkettung ist abgeschlossen, sobald FAT-Eintrag EOF (End of File) erreicht wird X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 47 DIRECTORY ENTRY UND FAT Directory Entry FAT file1.dat Start: 40 Size: 6,013 39 0 40 41 41 45 42 43 43 EOF 44 0 45 EOF X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 49 VERZEICHNISSE ▶ Erstellung eines neuen Verzeichnisses: 1. Cluster wird allokiert und ausgenullt 2. Dateigröße ist im Directory Entry nicht gesetzt (kann nur durch die Cluster-Verkettung ermittelt werden) 3. Die ersten beiden Directory Entries gehören immer den Ordnern. (aktuelles Verzeichnis) und.. (Elternverzeichnis) ▶ Zeiten der. und.. Einträge entsprechen dem Erstelldatum des Verzeichnisses (werden nicht aktualisiert) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.4 DATEISYSTEMANALYSE FAT — METADATEN 50 VERZEICHNISSE ▶ Verzeichnisse können, genau wie alle Dateien, mit Hilfe des Datei-/Ordnernamens, identifiziert werden ▶ Problem: Beim Löschen eines Eintrags wird nur das erste Byte substituiert → z.B. Namenskonflikt bei A-1.dat und B-1.dat (_-1.dat) ▶ Wird ein Ordnereintrag überschrieben, besteht gar kein Zusammenhang mehr ▶ Lösung: Suche nach Einträgen für. und.. im nicht-allokierten Bereich → Suche ausschließlich nach ersten Clustern von Ordnern X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.5 DATEISYSTEMANALYSE FAT — DATEINAMENSDATEN 51 DATEINAMEN ▶ Daten der Dateinamensdaten werden genutzt um einen Dateinamen mit einer Metadaten-Struktur zu verbindet ▶ FAT hält beide Daten in Directory Entries zusammen vor ▶ Länge des Dateinamens: 8 Buchstaben Dateiname + 3 Buchstaben Endung, getrennt mit einem Punkt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.5 DATEISYSTEMANALYSE FAT — DATEINAMENSDATEN 52 DATEINAMEN – LONG FILE NAME UND SHORT FILE NAME ▶ Bei längeren Namen wird ein Long File Name (LFN) in Form eines Directory Entries angeknüpft (auch mehrfach bei längeren Dateinamen möglich) ▶ LFN werden auch für Unicode-Dateinamen genutzt (kodiert mit UTF-16) ▶ Sequenznummer wird genutzt um den letzten LFN-Eintrag zu markieren ▶ Hierbei wird trotzdem ein Short File Name (SFN) im Directory Entry benötigt, da die anderen Metadaten nur ein mal abgelegt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.6 DATEISYSTEMANALYSE FAT — ZUSAMMENFASSUNG 55 ERSTELLEN DER DATEI DIR1\FILE1.TXT 1. Boot-Sektor auslesen → Positionen von Data Area, Root Directory und FAT bestimmen 2. Directory Entry des Ordners „dir1“ im Root Directory suchen (Name und Ordner-Attribut!) und dazugehöriges Cluster identifizieren 3. Freien Directory Entry für Datei „file1.txt“ im dazugehörigem Cluster suchen und allokieren 4. Freies Cluster im FAT suchen, EOF setzen und Cluster beschreiben 5. Es wird ein zusätzliches Cluster benötigt: weiteres Cluster wird allokiert und die neue Adresse im FAT-Eintrag des vorherigen Clusters eingetragen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.6 DATEISYSTEMANALYSE FAT — ZUSAMMENFASSUNG 56 ERSTELLEN DER DATEI DIR1\FILE1.TXT Boot Sector Data Area Root Directory Cluster 90 Cluster 200 FAT 0 Content I file1.txt 200 dir1 90 201 200 Cluster 201 EOF 201 Content II X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.6 DATEISYSTEMANALYSE FAT — ZUSAMMENFASSUNG 57 LÖSCHEN DER DATEI DIR1\FILE1.TXT 1. Boot-Sektor auslesen → Positionen von Data Area, Root Directory und FAT bestimmen 2. Directory Entry des Ordners „dir1“ im Root Directory suchen (Name und Ordner-Attribut!) und dazugehöriges Cluster identifizieren 3. Directory Entry der Datei „file1.txt“ im dazugehörigem Cluster suchen 4. Cluster-Kette mit Hilfe des FAT identifizieren 5. Status der dazugehörenden Cluster im FAT auf nicht-allokiert setzen (=0) 6. Den ersten Buchstaben des Dateinamens im Directory Entry auf 0xe5 setzen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.6 DATEISYSTEMANALYSE FAT — ZUSAMMENFASSUNG 58 LÖSCHEN DER DATEI DIR1\FILE1.TXT Boot Sector Data Area Root Directory Cluster 90 Cluster 200 FAT 0 Content I _ile1.txt 200 dir1 90 0 200 Cluster 201 0 201 Content II X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005)
