Got Milsch?

Komplizierte Welt, einfache Lösungen

Archive for Januar 2009

Unformatierte Festplatte an Windows XP anschliessen, partitionieren und formatieren

leave a comment »

Hallo zusammen,

ich habe gerade folgendes Problem gehabt:

Eine mittels dd if=/dev/zero of=/dev/sdb mit „0x00“ überschriebene Festplatte, die damit sowohl unpartitioniert als auch unformatiert ist, wurde per Scythe Kama Connect per USB an ein Laptop angeschlossen. Windows XP hat es auch erkannt nur leider konnte ich, logischerweise, nicht über den Explorer auf die HDD zugreifen. Wie auch, XP weiß ja nicht was es damit anfangen soll.

Also muß die Platte partitioniert und formatiert werden. Meen Ziel war eine primäre Partition und die mit FAT32 formatiert.

Hierzu öffnet man die Systemsteuerung, dort dann den Bereich Verwaltung, danach dann Computerverwaltung und in dem neuen Fenster dann unter Datenspeicher auf Datenträgerverwaltung gehen.

Noch schneller geht es über Start -> Ausführen -> diskmgmt.msc

Hier werden dann alle erkannten Datenträger angezeigt.

Datenträger 0 ist die, in meinem Fall, NTFS formatierte Systemfestplatte mit XP drauf.
Datenträger 1 ist nun die per USB angeschloßene HDD. Sie wird hier schwarz angezeigt und ausserdem ist ein kleines rotes Icon mit weißem Balken über dem HDD Symbol.

Diesen Datenträger klicken wir nun mit der rechtenn Maustaste an und gehen auf Datenträger initialisieren/initialize Disk.

Das rote Icon ist nun weg und wir können den Datenträger per rechtem Mausklick partitionieren.
Hierzu auf neue Partition klicken und es startet der Assistent zum Erstellen einer neuen Partition.
Ich habe dann primäre Partition gewählt, die Partitionsgröße maximal gelassen, den Laufwerksbuchstaben D gewählt und als Format FAT32 ausgesucht.
Nach dem letzten Klick auf Weiter wird das System die Partitionierung vor nehmen und die Partition im gewünschten FAT32 Format formatieren.

Et voilá, die Festplatte wird im Explorer als Laufwerk D: mit FAT32 und 8,45 GB freiem Speicher angezeigt.

Datenträgerverwaltung got Milsch!

Advertisements

Written by erikmilsch

Januar 29, 2009 at 1:37 pm

Veröffentlicht in Uncategorized

Gezielte Wallpapersuche mit Google

leave a comment »

Hallo zusammen,

heute mal etwas ganz einfaches, nämlich die gezielte Suche nach Wallpapers mit der Auflösung Eurer Wahl. Und nur dieser Auflösung.

Nehmen wir mal an Ihr habt eine Desktopauflösung von 1280×800 (wie mein Laptop).

Und Ihr sucht ein Wallpaper das mit Apple zu tun hat. Ihr öffnet also einen neuen Tab in Eurem Browser, gebt in die URL-Zeile

http://images.google.de

ein und tippt dann als Suchbegriff imagesize:1280×800 apple ein.

Ergebnis :

Es gab insgesamt übrigens 3760 Hits für diese Suchanfrage.

Vielen Dank an Adam Pash von lifehacker.com für den Artikel.

Google Imagesearch got Milsch!

Adam Pash auch 😉

Written by erikmilsch

Januar 29, 2009 at 11:21 am

Veröffentlicht in Uncategorized

Datenrettung – Data carving mit foremost [Linux]

leave a comment »

Hallo zusammen,

heute zeige ich Euch, wie man unter Linux wesentlich einfacher gelöschte Daten von einem Datenträger reanimieren kann als gleich mit der großen Keule SleuthKit bzw. Autopsy zu zuschlagen.

Ich spreche von dem Programm foremost.

Der Originalcode wurde von Special Agent Kris Kendall und Special Agent Jesse Kornblum von dem United States Air Force Office of Special Investigations geschrieben. Kein Scherz.

Weitere Veränderungen wurden von Nick Mikus an dem Naval Postgraduate School Center for Information Systems Security Studies and Research programmiert.

Wie bei jeder Datenrettung sollte man nichts auf dem original Datenträger machen. Also erstellen wir uns mit sudo dd if=/dev/datenträger of=/home/eigener_ordner/imagefile.dd ein Image des Datenträgers.

Anschliessend rufen wir foremost mit foremost -T /home/eigener_ordner/imagefile.dd auf.

Das Atribut -T sagt foremost dabei, dass alle regenerierten Daten in einem Ordner „output….“ im Homeordner gespeichert werden sollen.

Dieser Ordner sieht hier so aus :

Wir sehen 3 Ordner mit den Namen „dll“, „exe“ und „jpg“ sowie das Textfile „audit.txt“.

In den Ordner befinden sich, wie Ihr mit Sicherheit schon geahnt habt, die gefundenen Files mit den korespondierenden Endungen. Schauen wir uns also mal den „jpg“ Ordner an :

Foremost erstellt natürlich auch einen Report. Dieser Report ist das Textfile „audit.txt“ und sieht in diesem Fall so aus :


Es zeigt Euch also genau was es getan hat, was gefunden und wohin es das kopiert wurde. In diesem Fall hat foremost gerade mal 10 Sekunden, 17:07:55 bis 17:08:05, gebraucht.

Oh, übrigens so sieht der Stick im Dateibrowser aus :

Ihr seht, bis auf das Textfile „DETLOG.TXT“ wird er als leer angezeigt. 🙂

Mehr zu foremost findet Ihr auf den ManPage.

Happy carving…

foremost got Milsch!

Written by erikmilsch

Januar 27, 2009 at 5:25 pm

Veröffentlicht in Uncategorized

Seriennummer und weitere Daten der HDD mit einem Befehl in Linux

leave a comment »

Hallo zusammen,

heute möchte ich Euch kurz einen Befehl vorstellen, der im Terminal von Linux die Seriennummer und viele andere Informationen über Eure Festplatte anzeigt.

Der Befehl lautet hdparm -i /dev/sda1

Die Ausgabe sieht dann wie folgt aus :


Wie Ihr seht wird die genau Modellbezeichnung, die Seriennummer und einiges mehr angezeigt.

Das war es auch schon.

hdparm got Milsch!

Written by erikmilsch

Januar 19, 2009 at 4:19 pm

Veröffentlicht in Uncategorized

Forensische Analyse eines 1GB Datastick – von wegen alles gelöscht

leave a comment »

Moin zusammen,

heute möchte ich einmal zeigen, was so alles auf Datenträgern bleibt, obwohl man doch die Files brav gelöscht hat. Ich werde Euch also zeigen wie man ein Image zieht, wie man dieses dann analysiert und Daten die gelöscht, aber zu retten sind, sichert.

Hierzu verwende ich:

– 1 GB Rok Giga Drive (MP3 Player mit 1 GB) per USB Anschluß
– Laptop mit Ubuntu Intrepid Ibex
– das Program dd 6.10
– die Forensik Programmsammlung SleuthKit 2.52
– das GUI Autopsy 2.08 für SleuthKit
– Firefox 3.0.5

Image erstellen

Als erstes die absolute Grundregel wenn man sich mit Forensik oder Datenrettung beschäftigt :

Nie den Original Datenträger analysieren, immer ein Image machen!!

Warum? Ganz einfach, wenn auf dem Originaldatenträger was passiert kann das die Daten kosten. Wenn auf dem Image was passiert ist das nicht so schlimm. Ganz redundante Jungens und Mädels gehen sogar soweit, dass sie das Image noch mal kopieren, um ganz sicher zu sein.

Um ein Image zu ziehen schliessen wir den zu analysierenden Datenträger per USB Kabel an das Laptop an. Im Falle einer Festplatte wäre es wohl am schnellsten und besten, dieselbe direkt an den Controller des Computers anzuschließen. Da ich jedoch mit einem Laptop arbeite und bei einem USB Stick eh nur der USB Port als Anschluß Sinn macht verwende ich diesen.

Nach dem der Stick gemountet wurde öffne ich eine Konsole und gebe dort sudo fdisk -l ein um eine Übersicht der angeschlossenen Laufwerke zu erhalten.

Ganz unten seht Ihr nun den Datastick mit 1GB, angezeigt als /dev/sdb1 mit dem Dateisystem FAT32.

Um nun ein Image zu ziehen geben wir den Befehl sudo dd if=/dev/sdb1 of=/home/erik/Inbox/image1gb.img ein.
Sudo ist klar, dd ist das Programm, if= übergibt das Inputfile, also den zu imagenden Datenträger, hier /dev/sdb1, an dd und of= übergibt den gewünschten Ort und Namen des Imagefiles an dd, hier also /home/erik/Inbox/image1gb.img. Ihr solltet logischerweise einen Ordner in Eurem System wählen. 😉

Nach dem Ihr den Befehl ausgeführt habt wird es, je nach Rechner, eine Weile dauern bis das Image erstellt wurde. In meinem Fall ca. 18 Minuten. Das liegt an der Datenübertragungsrate des USB Sticks bzw. des USB Anschlusses an Eurem Computer.

Wenn Ihr, nach dem dd fertig ist, in den Ordner schaut findet Ihr dort das File image1gb.img. Und genau das wollten wir haben. 🙂

Analyse des Image

So, nun kann der eigentliche Spaß losgehen. 🙂

Schauen wir uns erstmal an was das Betriebssystem auf dem Stick erkennt. Dazu rufe ich den Stick ganz normal im Datei Browser auf und erhalte folgendes Bild :

Soweit alle klar, 2 Ordner, wobei ich vorhin den Inhalt von „Photos“ gelöscht habe.

Wie Ihr seht, nix drin. 🙂

Nun wechseln wir wieder in unser Terminal und rufen Autopsy mit sudo autopsy auf.

Nun seht Ihr das man die URL http://localhost:9999/autopsy im Browser aufrufen soll. Also kopiert Ihr Euch diese Zeile in die Adressleiste des Browsers und ruft sie auf. Ergebnis :

Solltet Ihr Java aktiviert haben wird er Euch das anzeigen und darauf hinweisen, dass das ein Sicherheitsproblem darstellt. Ihr könnt aber auch mit aktiviertem Java arbeiten. Ich empfehle Euch jedoch dringend, falls Ihr das noch nicht habt, das Plug-In NoScript für den Firefox.

Ihr seht nun die 3 Buttons „Open Case“, „New Case“ und „Help“. Letzteres erklärt sich von selbst.
Autopsy behandelt jede Analyse als eigenständigen Fall mit eigenem Protokoll etc. So will Autopsy sicherstellen, dass die Daten gerichtsverwertbar sind. Ich weiß allerdings nicht ob eine Analyse mit Autopsy und Sleuth tatsächlich in Deutschland Beweiskraft besitzt.
Da wir hier zum erstemal mit Autopsy arbeiten klicken wir auf „New Case“.

Hier könnt Ihr dem Fall einen Namen geben, eine weitere Beschreibung eingeben und die Namen der Ananylsten eingeben. Tja, diese Program ist halt, wie schon gesagt, für Forensik. Bitte keine Leerzeichen verwenden, zum Trennen von Wörtern den Unterstrich „_“ nehmen.
Dann auf „New Case“.

Jetzt müßen wir noch ein paar Angaben zum zu untersuchenden Datenträger bzw. Computer machen, also klicken wir auf „Add Host“

Hier geben wir ein wie der Computer heißt, den wir analysieren wollen. Da wir nur den Stick haben gebe ich oben den Namen des Sticks ein und als Beschreibung „Eriks_erster_MP3_Player“. Im Prinzip ist es egal was Ihr hier eingebt, aber wählt am Besten etwas Aussagekräftiges.
Hiernach seht Ihr jetzt die genaue Beschreibung Eures „Falles“. 🙂

Sehr schön, klicken wir auf OK.

Bisher haben wir ja eigentlich nur administrative Aufgaben erledigt, also den Fall bennant, die Analysten eingetragen, den zu untersuchenden Computer etc. etc. Autopsy weiß aber noch nicht WAS er untersuchen soll. Also sagen wir ihm jetzt welches Image das zu untersuchende ist und klicken auf „Add Image File“.

Hier gebt Ihr jetzt den exakten(!) Pfad und den exakten (!) Namen von Hand ein. Dann bitte auf „Partition“ und „Symlink“ klicken und dann auf „Next“. Wenn Ihr auf „Copy“ klickt macht Autopsy gleich eine Kopie des Image und verwendet die Kopie. Das ist aber hier nicht nötig.
Jetzt wird Euch angezeigt, was für ein Image da „geladen“ wurde. Ausserdem könnt Ihr auswählen ob eine HASH-Summe berechnet werden soll oder nicht. Ich verzichte hier darauf, da es für unsere Zwecke nicht notwendig ist.

Aber Ihr seht hier schon das fat32 als File Type angezeigt wird. Er hat es also richtig erkannt. Weiter mit „Add“.

Das Image wurde getestet und für gut befunden 😉
Weiter mit „OK“

Sooooo, jetzt seid Ihr da wo es spannend wird. Hier, im Host Manager, könnt Ihr das Image und damit den Datenträger bis auf die Knochen analysieren. Schauen wir doch mal, was für Files noch auf dem Stick schlummern ohne dass das jemand ahnte. Dafür klicken wir auf „Analyse“ und dann auf „File Analysis“

Man kann jetzt schon erkennen dass da mehr angezeigt wird als beim File Browser. Jedenfalls kann ich mich nicht erinnern 01-Kryptonite.mp3 gesehen zu haben. 😉 Tolles Lied, by the way.
Das sieht ja viel versprechend aus. Also scrollen will runter bis der Ordner Photos kommt.

Jetzt einfach mit der Maus auf Photos klicken und schon seid Ihr in dem Ordner und oh Wunder :

Da sind die ganzen gelöschten Fotos. Wenn Ihr auf eins dieser Fotos klickt wird es unten sogar dargestellt. Klickt Ihr jetzt auf Export wird es wieder hergestellt.

So, das war es erstmal. Ich weiß, für reine Datenrettung ist das als wenn man mit Kanonen, und zwar die großen Kalibers, auf Spatzen schießt, aber ich wollte Euch ja auch Autopsy bzw. SleuthKit zeigen. Beides übrigens Freeware.

Probiert einfach die anderen Sachen auch aus. Sehr spannend ist z.B. auch die Timeline, in der dargestellt wird was wann auf dem Stick gemacht wurde. Das ist WIRKLICH interessant 😉

Tja, was kann ich sagen… Autopsy / SleuthKit got Milsch!!!

Written by erikmilsch

Januar 16, 2009 at 5:09 pm

Veröffentlicht in Uncategorized

Die Festplatte, das unbekannte Wesen : der MBR (Master Boot Record) Teil 2

leave a comment »

Hallo zusammen,

wie bereits angekündigt kommt nun der 2te Teil über den MBR. Hier werde ich darauf eingehen, wie man sich den MBR anschauen kann, wie man ihn verändern kann, was passiert, wenn der MBR beschädigt ist und wie man ihn reparieren kann.

Wie schaut man sich den MBR an?

Ich werde mich hier wieder auf Linux beziehen, da ich gerade für Datenrettungen immer mit einer Linux Live Distribution arbeite. Entweder mit Ubuntu oder mit Rescue CD. Gerade letzteres ist fast schon das Swiss-Army Knife für Datenrettung, da es neben einer leichten Benutzeroberfläche auch so ziemlich alle Datenformate lesen kann und auch Testdisk und lde (Linux Disk Editor) gleich mit an Bord hat.

Und auf lde werde ich mich hier beziehen.

Gleich vorweg eine Warnung : Bitte nicht mit der Festplatte Eures Vertrauens nach machen!
Oder anders ausgedrückt : Finger weg von der Festplatte in Eurem Rechner, nehmt lieber eine externe HDD die Ihr nicht mehr braucht. Vieleicht hat ja noch jemand einen alten Rechner aus dem Ihr eine nicht mehr genutzte HDD ausbauen könnt. Stellt aber sicher, dass Ihr die HDD wieder in den Rechner einbauen und booten könnt, da wir uns nachher anschauen werden was passiert wenn der MBR bestimmte Defekte hat.

Wenn dem so ist, stellt sich nur noch die Frage, wie hänge ich sie an meinen Computer?

Lösung : Ein Adapter mit USB Anschluß (Scythe Kama Connect)

Und hier dann an den Laptop per USB angeschlossen und mit angehängter 3,5“ Maxtor Festplatte

Clevererweise ist bei dem Adapter auch ein Poweranschluß für 3,5“ Laufwerke beigefügt. Ca. 30,– Euro die sich für mich echt gelohnt haben.

So, nachdem die HDD also an den Computer angeschlossen ist, gebt Ihr im Terminal als Root den bereits bekannten Befehl fdisk -l ein.

Hier seht Ihr nun meine interne Festplatte /dev/sda1 bis /dev/sda6 sowie die externe /dev/sdb1.
Das „sd“ steht dabei für Serielle Disk, das „a“ dafür, dass es sozusagen die erste Festplatte ist, „b“ somit die zweite und externe. Die zahlen sind die verschiedenen Partitionen auf den Festplatten.
Unter Umständen lautet bei Euch die Bezeichnung für die interne Festplatte „hda1„, und damit dann die externe „sda1„.

Wichtig : Ihr müßt sicher wissen welche HD genau die externe ist und merkt es Euch, besser noch schreibt Euch die Bezeichnung auf!!

Es ist sehr unangenehm wenn Ihr denkt Ihr würdet auf der externen „Testplatte“ rumspielen und nach dem drücken auf Enter fällt Euch auf dass es doch Eure Systemdisk war.

So, an meinem Rechner hing bei dem obigen Screenshot eine 128 MB Datenstick, daher die geringe Anzahl der Blöcke.

Nachdem Ihr jetzt wißt wie Eure TestHDD heißt gebt Ihr den Befehl lde -b 0 /dev/sdb ein, aber ebenfalls als Root. Dieser ruft das Programm lde (Linux Disk Editor) auf und sagt Ihm es soll den Block (-b) lesen und anzeigen der die logische LBA Nummer 0 auf dem Datenspeicher /dev/sdb hat. Wollt Ihr den Block 1 lesen gebt Ihr dementsprechen lde -b 1 /dev/sdb ein usw.

Nun seht Ihr genau dass, was ich im letzten Post bereits gezeigt habe, nämlich die ersten 512 Byte der angehängten Testplatte.

Herzlichen Glückwunsch!

EDIT : Schreibe den Artikel gerade um, da er sich fälschlicherweise auf den VBR (Volume Boot Record) bezog. In Kürze werden hierzu weitere Artikel und ein Script folgen. Sorry!

Written by erikmilsch

Januar 15, 2009 at 5:38 pm

Veröffentlicht in Uncategorized

Die Festplatte, das unbekannte Wesen : der MBR (Master Boot Record) – Teil 1

leave a comment »

Hallo zusammen,

heute schreibe ich mal über etwas das wir zwar jeden Tag mit unserem Computer benutzen, egal welcher Computer, egal welches Betriebssystem, jedoch kaum oder gar nicht kennen. Die Rede ist vom sogenannten MBR oder Master Boot Record.
Ich werde darüber schreiben was er ist, wo er ist, wie er aussieht, wie man ihn anschauen und manipulieren kann und was Fehler bei ihm bewirken können.

Was ist der MBR?

Also was ist der MBR? Kurz gesagt, der MBR ist der erste Sektor auf unserer Festplatte. Oder, präziser ausgedrückt, es ist der Sektor mit der Nummer 0. Ist das nicht dasselbe? Nein, denn es gibt auf jeder Festplatte noch Sektor mit negativer Sektorenzahl. Diese sind jedoch ausschliesslich für die Steuerung und Fehlerverarbeitung zuständig und sollen uns hier erstmal nicht interessieren.
Dieser Sektor ist, wie alle Sektoren auf einer Festplatte, 512 Byte groß. Wenn Ihr nun Eure Festplatte startet und sie sich selbst erfolgreich getestet hat, dann sind die erste Informationen die der Computer liest diese Bytes aus dem MBR. Hier ist die Partitionstabelle gespeichert (sie sagt dem Computer was für Partitionen auf der Festplatte sind, wo sie sind und wie groß sie sind) und von hier aus wird entweder ein kleines Programm welches das Betreibssystem lädt oder ein Bootprogram (für Multi-Boot-Systeme) geladen.
Desweiteren ist hier auch der Festplattenname und die Disk Signature.
Der MBR enthält also sowohl Daten als auch Programcode.

Wo ist er?

Nun, wie schon erwähnt befindet sich der MBR in dem Sektor mit der Ordnungszahl 0. Er befindet sich nicht(!) auf der ersten Partition, sondern vor(!) der ersten Partition. Da muß er auch liegen, da er dem Betriebssystem erst sagt wo die Partitionen zu finden sind. Pysikalisch gesehen liegt er bei 3,5“ Festplatten auf dem äußeren Rand der Platte, bei 2,5“ Festplatten auf dem inneren Rand, nahe an der Nabe. Dies ist wichtig zu wissen wenn man eine Festplatte retten will und einen Headcrash hatte. Je nachdem wo der Head gecrasht ist ist nämlich der MBR betroffen, oder eben nicht. Letzteres wäre logischerweise günstiger.

Wie sieht er aus?

Wenn man sich den ersten Block des MBR mal mit einem sog. Disk Editor anschaut, z.B. lde (Linux Disk Editor) oder Disk Edit (unter Windows), dann wird in etwa folgendes Bild erscheinen (hier ist eine Festplatte mit nur einer Partition und einem Windows 98 Betriebssystem als Beispiel verwendet worden) :

Die ersten 300 Byte des MBR (0x00 bix 0x12B) enthalten den Boot Code in Assembler. Dieser wird i.d.R. beim Start des Computers ausgelesen und ausgeführt. Eine ausführliche Beschreibung des Codes kann unter hier  gefunden werden. Danke an Starman.

Danach folgen ca. 80 Bytes (0x12C bis ca. 0x17B) Fehlermeldungen. Diese sind je nach Landessprache unterschiedlich lang.

Nun folgt bis Offset 0x1B4 ausschließlich der Wert 0x00.

Offset 0x1B5 bis 0x1B7 dient nun zur Darstellung der Fehlermeldungen. In der englischen Version von Windows sind diese 3 Bytes immer 0x2C 0x44 0x63. In anderen Versionen, z.B. der deutschen, haben die letzten 2 Bytes andere Werte. Diese werden dazu verwendet um den Anfang der Fehlermeldungen im Speicher zu bestimmen. Da der Anfang der ersten Meldung immer gleich ist sollten nur die letzte 2 Bytes verändert sein.

Die folgenden 4 Bytes (0x1B8 bis 0x1BB) sind die Disk Signature oder NT Drive Serial Number. Sie haben von Laufwerk zu Laufwerk unterschiedliche Werte.

Von Offset 0x1BE bis 0x1FD ist die für die Organisation des Laufwerks wichtige Partitionstabelle eingetragen. Hier stehen die Verwaltungseinträge für die einzelnen Partitionen. Maximal sind 4 Partitionen möglich mit max. einer erweiterten Partition. Alle anderen müssen primäre Partitionen sein. Es muss jedoch mindestens eine primäre Partition angelegt sein. Jegliche Änderung an der Partitionierung des Laufwerks wird hier festgehalten. Ein Verlust dieser Daten führt unter anderem dazu, dass von dem Laufwerk nicht mehr gebootet werden kann, da die bootfähige Partition nicht mehr gefunden wird. Aufschlüsselung der Partitionstabelle siehe unten 2.1.

Die letzten beiden Bytes des MBR (0x1FE und 0x1FF) sind die Signature ID oder auch Magic Number 0x55 0xAA.

Partitionseinträge im MBR

Die Partitionseinträge sind immer 16 Byte lang.

Das erste Byte Offset 0x00 gibt dabei an, ob diese Partition bootfähig ist oder nicht. Die Werte lauten 0x80 für bootfähig und 0x00 für nicht bootfähig.

Die Bytes in Offset 0x01 und 0x02 bis 0x03 geben den jeweiligen Startsektor der Partition in der Notation CHS an, also Cylinder, Head, Sector. Dabei gibt das erste Byte den Head(H) an, die letzten beiden Cylinder(C) und Sector(S).

Head(H) ist dabei einfach der Wert des Byte, hier also 1.

Cylinder(C) und Sector(S) sind anders zu berechnen.

Sector(S) wird aus Bit 0 bis 5 von Offset 0x02 gebildet. Hier also 0x01 = 00000001 = 000001 = 1

Cylinder(C) ist Bit 0 bis 7 aus Offset 0x03 und Bit 6 und 7 aus Offset 0x02 als Bit 8 und 9. Her also alles 0.

Der Wert in Offset 0x04 ist gibt den Partitionstyp an. 0x0C bedeutet hier „FAT32 (LBA)“. Weitere Typen finden Sie im  Anhang.

Offset 0x05 und 0x06 bis 0x07 geben den Endsektor der Partition an, ebenfalls in der Notation CHS.

In Offset 0x08 bis 0x0B steht nun wiederum der Startsektor der Partition, diesmal aber in der LBA Notation.

Schließlich wird in den letzten Offsets 0x0C bis 0x0F die Partitionsgröße in Sektoren angegeben.

Soweit heute fürs erste. Demnächst werde ich dann noch darauf eingehen wie man sich den MBR anschaut, wie man ihn verändert und was passiert wenn er „zerschossen“ wird.

MBR got Milsch!

EDIT : Dies ist der richtige, korrigierte Post zum MBR, der vorherige bezog sich auf den VBR (Volume Boot Record). Hierzu schreibe ich später auch noch.

Written by erikmilsch

Januar 14, 2009 at 5:58 pm

Veröffentlicht in Uncategorized