(tiếp theo của He thong quan ly tap tin NTFS - 4 - VBR - BPB)
Sau đây là
phần minh họa các bước để đọc được nội dung BPB trên đĩa cứng thật.
-
Sử
dụng phần mềm Disk Editor, đọc MBR của đĩa cứng (sector 0). Định vị vùng partition
table, bắt đầu tại địa chỉ (offset) 0x01BE, xem Hình 17.
-
Từ
entry mô tả thông tin cho ổ đĩa C:\, xác định được địa chỉ bắt đầu của ổ đĩa
C:\ là “3F 00 00 00” = 63.
-
Đọc
sector 63, đây là vị trí bắt đầu vùng VBR của ổ đĩa C:\. Kết quả được minh họa
trong Hình 18.
-
Từ
VBR xác định vùng BPB, bắt đầu tại địa chỉ (offset) B đến 53, gồm 73 byte, xem
Hình 19.
-
Giá
trị cụ thể của các trường trong BPB được minh họa trong bảng sau.
|
Địa chỉ
(offset)
|
Kích thước
(byte)
|
Giá trị
|
Giá trị
hệ 10
|
Mô tả
|
|
0Bh
|
2
|
0x0200
|
512
|
Kích thước một
sector là 512 byte.
|
|
0Dh
|
1
|
0x08
|
8
|
Số sector trong
một cluster là 8, vậy kích thước một cluster là:
8 x 512 = 4096 B
= 4 KB.
|
|
0Eh
|
2
|
“0000”
|
0
|
Chưa sử dụng.
|
|
10h
|
1
|
“00”
|
0
|
Với hệ thống NTFS,
luôn mang giá trị 0.
|
|
11h
|
2
|
“0000”
|
0
|
Với hệ thống NTFS
luôn mang giá trị 0.
|
|
13h
|
2
|
“0000”
|
0
|
Luôn mang giá trị
0, hệ thống NTFS không sử dụng tới trường này.
|
|
15h
|
1
|
0xF8
|
248
|
Mã xác định loại
đĩa. F8 = Fixed Disk.
|
|
16h
|
2
|
“0000”
|
0
|
Với hệ thống NTFS,
luôn mang giá trị 0.
|
|
18h
|
2
|
0x003F
|
63
|
Số sector/track
là 63.
|
|
1Ah
|
2
|
0x00FF
|
255
|
Số mặt đĩa (head hay
side) là 255.
|
|
1Ch
|
4
|
0x00003F
|
63
|
Sector bắt đầu
của ổ đĩa logic C:\ là 63.
|
|
20h
|
4
|
“00000000”
|
0
|
Luôn mang giá trị
0, hệ thống NTFS không sử dụng tới trường này.
|
|
24h
|
4
|
“80008000”
|
|
Hệ thống NTFS
luôn thiết lập giá trị này là “80008000”.
|
|
28h
|
8
|
0x0000 0000 0283
3A00
|
42 154 496
|
Số sector của ổ đĩa
|
|
30h
|
8
|
0x0000 0000 000C
0000
|
786 432
|
Cluster bắt đầu
của MFT.
|
|
38h
|
8
|
0x0000 0000 0000
0002
|
2
|
Cluster bắt đầu của MFTMirror (MFT dự phòng)
|
|
40h
|
1 (số có dấu)
|
0xF6
|
-10
|
Kích thước của một
bản ghi MFT (MFT entry). Đơn vị tính là byte.
|
|
0xF6 là một số có
dấu, 0xF6 = 1111 0110 (dạng bù 2), tính ra được giá trị hệ thập phân = -10.
Kích thước của
một bản ghi MFT tính bằng 2 ^ |-10| = 1024 byte.
|
||||
|
41h
|
3
|
“000000”
|
|
Luôn mang giá trị
0, hệ thống NTFS không sử dụng tới trường này.
|
|
44h
|
1 (byte có dấu)
|
0x01
|
1
|
Số cluster của Index Buffer.
|
|
45h
|
3
|
“000000”
|
|
Luôn mang giá trị
0, hệ thống NTFS không sử dụng tới trường này.
|
|
48h
|
8
|
0xB428 B05B 28B0
1DF4
|
|
Số seri của ổ đĩa (volume serial number).
Khi sử dụng lệnh dir trong cửa sổ dòng lệnh, hệ
thống chỉ hiển thị giá trị của 4 byte cuối.
Ví dụ:
C:\> dir
Volume in drive C has no lable. Volume
Serial Number is 28B0-1DF4
|
|
50h
|
4
|
“0000 0000”
|
0
|
Không được sử
dụng bởi NTFS.
|
---------------------------
Tài liệu đã tham khảo:
Brian Carrie, File System Forensic Analysis, Addison Wesley Professional, 2005
-------------------Cập nhật 2014/5/29
----------------------
Đọc thêm
He thong quan ly tap tin NTFS - 6 - MFT - MFT entry