Computerforensik. Wintersemester 2010/2011
|
|
- Cornelia Günther
- vor 7 Jahren
- Abrufe
Transkript
1 Computerforensik Wintersemester 2010/2011 Harald Baier Kapitel 4: Dateisystemanalyse
2 Inhalt Allgemeines zu Dateisystemen Das Referenzmodell von Carrier Datenkategorien Analyse dieser Datenkategorien Harald Baier Computerforensik h_da WS 2010/2011 2
3 Inhalt Allgemeines zu Dateisystemen Das Referenzmodell von Carrier Datenkategorien Analyse dieser Datenkategorien Harald Baier Computerforensik h_da WS 2010/2011 3
4 Grundlagen von Dateisystemen (1/2) Generelles Ziel: Organisation der Daten in Hierarchie aus Verzeichnissen und Dateien Unterteilung der Daten in Benutzerdaten (Payload) Strukturdaten (Verwaltung der Benutzerdaten) Dateisysteme sind oft unabhängig von Hardware oder Betriebssystem Windows auf FAT oder NTFS Linux auf FAT, ext2/ext3/ext4, ReiserFS Harald Baier Computerforensik h_da WS 2010/2011 4
5 Grundlagen von Dateisystemen (2/2) Kenntnisse über Dateisysteme ermöglichen Zugriff auf Daten (Struktur- und Nutzerdaten) Rekonstruktion von Vorgängen auf dem Dateisystem Ohne Hilfe des eigentlichen Betriebssystems Interpretation der Inhalte von Nutzerdaten liegt Abstraktionsstufe höher Muss mit speziellen Anwendungstools untersucht werden Nicht Gegenstand der Dateisystemanalyse Harald Baier Computerforensik h_da WS 2010/2011 5
6 Zur Mehrdeutigkeit des Begriffs 'Block' Datenträgerblock: Kleinste adressierbare Einheit auf Datenträger Angelegt bei Low-Level-Formatierung Typische Größe: 512 Byte Viele Autoren / Programme sprechen von Sektor Dateisystemblock: Kleinste adressierbare Einheit über das Dateisystem Angelegt bei Dateisystem-Formatierung Typische Größen: 1024 Byte, 2048 Byte, 4096 Byte In dieser Vorlesung: FS-Block Windows-Notation: Cluster Harald Baier Computerforensik h_da WS 2010/2011 6
7 Mehrdeutigkeit des Begriffs 'Adresse' Logische Partitionsadresse / Laufwerksadresse: Adresse (LBA) des Datenträgerblocks relativ zum Anfang der Partition Einheit: Datenträgerblock / Sektor Logische Dateisystemadresse: Adresse des FS-Blocks relativ zum Anfang des Dateisystems Einheit: FS-Block / Cluster Logische Dateiadresse: Adresse des Datenblocks relativ zum Anfang der Datei Einheit: FS-Block / Cluster Harald Baier Computerforensik h_da WS 2010/2011 7
8 Inhalt Allgemeines zu Dateisystemen Das Referenzmodell von Carrier Datenkategorien Analyse dieser Datenkategorien Harald Baier Computerforensik h_da WS 2010/2011 8
9 Abstraktes Referenzmodell für Dateisysteme Fünf Kategorien von Daten: Dateisystemdaten Inhaltsdaten Metadaten Dateiname Anwendungsdaten des Dateisystems Vorteil: Vereinfacht Vergleich von Dateisystemen Ermöglicht abstrakte Vorgehensbeschreibung für Analyse Nachteil: Referenzmodell passt nicht immer Harald Baier Computerforensik h_da WS 2010/2011 9
10 Dateisystemdaten Dateisystemdaten liefern allgemeine Informationen über die Organisation des Dateisystems Typische Angaben: Wie groß ist ein Dateisystemblock für Inhaltsdaten? Wie groß ist das Dateisystem? Welche Datenblöcke sind belegt? Wo finden sich weitere Informationen über das Dateisystem? Dateisystemdaten (oder zumindest ein Teil davon) befinden sich am 'Anfang' des Dateisystems (Bootsektor und gglfs. ein paar weitere HDD-Blöcke) Harald Baier Computerforensik h_da WS 2010/
11 Inhaltsdaten Inhaltsdaten speichern Inhalte der Dateien Typischerweise größter Anteil der Daten Gespeichert in FS-Blöcken: Nicht zu verwechseln mit einem Festplattenblock aus Low-Level-Formatierung In Windows Cluster, in Linux UNIX Block genannt Brian Carrier: Data Unit FS-Blöcke der Inhaltsdaten sind alloziert oder nicht. Harald Baier Computerforensik h_da WS 2010/
12 Metadaten Metadaten = Daten über Daten Meta = Über, hinter, neben Typische Informationen: Speicherort der Inhaltsdaten (Unterschiedliche Strategien) Größe der Datei MAC-Zeitstempel Letzte Änderung Modified M Letzter lesender Zugriff Accessed A Löschung / Erstellung Created C Beispiele: Inodes in UNIX, FAT-Verzeichniseinträge Harald Baier Computerforensik h_da WS 2010/
13 Dateiname und Anwendungsdaten Dateiname: Stellt typischerweise Verbindung zwischen externem Namen (für den Anwender) und internem Namen (z.b. Inode) her Meist in Verzeichnisdatei gespeichert Analogie: URL <--> IP-Adresse Anwendungsdaten des Dateisystems: Nicht benötigt für Kern-Funktionalität des Dateisystems Stellt typischerweise nützliche Features bereit: Dateisystem-Journal Quota-Statistiken Harald Baier Computerforensik h_da WS 2010/
14 Essentielle vs. nicht-essentielle Daten Begriffsunterscheidung durch Brian Carrier: Essential file system data are those that are needed to save and retrieve files. Non-essential file system data are there for convenience and not needed for the basic functionality. Beispiele: Essentiell:? Nicht-essentiell:? Vertrauenswürdigkeit essentieller / nicht-essentieller Daten? Harald Baier Computerforensik h_da WS 2010/
15 Inhalt Allgemeines zu Dateisystemen Das Referenzmodell von Carrier Datenkategorien Analyse dieser Datenkategorien Harald Baier Computerforensik h_da WS 2010/
16 Analyse von Dateisystemdaten Wichtige Dateisystemdaten sind typischerweise in ersten Datenträgerblöcken der Partition untergebracht Liefern Informationen über: Art des Dateisystems Speicherort weiterer Informationen über das Dateisystem Vertrauenswürdige (weil essentielle) Daten: Ansicht mit Hexeditor (z.b. xxd) oder Tool aus TSK (fsstat) Volume Slack nicht vergessen: Unbenutzte Datenträgerblöcke hinter Dateisystem Potentieller Speicherort für versteckte Dateien Harald Baier Computerforensik h_da WS 2010/
17 Analyse von Inhaltsdaten: Allozierte Blöcke Anlegen einer Datei: Datenblöcke werden alloziert Zugehörige Datenblöcke werden im Dateisystem als belegt markiert Allokationsalgorithmus abhängig vom Dateisystem u. OS Löschen einer Datei: Oft werden nur die Verweise Dateiname --> Metadaten gelöscht Datenblöcke werden als unbenutzt markiert Folge: Daten liegen unverändert auf Datenträger Harald Baier Computerforensik h_da WS 2010/
18 Analyse von Inhaltsdaten (1/2) Suche mit Hilfe der Metadaten: Sind Metadaten noch verfügbar (insbesondere die Verweise auf Datenblöcke), ist Analyse relativ einfach Datenblöcke auslesen --> Zu neuer Datei 'zusammenbauen' Anschließend auf Dateiebene analysieren Andernfalls Stringsuche, Puzzletechnik,... Stringsuche nach Schlüsselwörtern ASCII-String (z.b. -Adresse, Telefonnummer) Dateiverwaltungs-String ('Signaturen' z.b. in pdf-, Bild-, Office- Dateien): Dateiheader / -footer Carving Prinzipielles Problem: Fragmentierung der Daten Harald Baier Computerforensik h_da WS 2010/
19 Analyse von Inhaltsdaten (2/2) Prinzipielles Problem: Fragmentierung der Daten Daten werden i.d.r. in mehreren FS-Blöcke gespeichert Geht gesuchter String über Blockgrenzen, ist Auffinden ggfls. schwierig Referenztest aus Computer Forensic Tool Testing (CFTT) verwenden: Suche auf unbelegten Datenblöcken Ansicht von Datenblöcken mit Tools aus TSK: xxd: Hexeditor (vgl. Praktikum) dcat: Ansicht von Datenblöcken als Hexdump, ASCII, HTML Harald Baier Computerforensik h_da WS 2010/
20 Inhaltsdaten: File Slack (1/3) Harald Baier Computerforensik h_da WS 2010/
21 Inhaltsdaten: File Slack (2/3) File Slack: Speicherbereich von EOF bis Ende des FS-Blocks Hintergrund: Tatsächliche Dateigröße und allozierter Speicherbereich auf Festplatte stimmen in der Regel nicht überein Besteht aus RAM Slack und Drive Slack RAM Slack: Speicherbereich von EOF bis Ende des aktuellen Datenträgerblocks Wurde von DOS und älteren Windows-Varianten mit Inhalten aus Memory Buffer (= RAM-Daten) beschrieben Harald Baier Computerforensik h_da WS 2010/
22 Inhaltsdaten: File Slack (3/3) Drive Slack: 'Hintere' vollständig unbelegte Datenträgerblöcke In diesen bleibt oft das bisherige Bitmuster unverändert Beispiel: Datenträgerblockgröße: 512 Byte FS-Blockgröße: 4096 Byte Textdatei von 26 Byte wird gespeichert File Slack: Byte bis Byte RAM Slack: Byte - Byte Drive Slack: Byte - Byte Harald Baier Computerforensik h_da WS 2010/
23 Inhaltsdaten: Sicheres Löschen von Dateien Je nach Betriebssystem gibt es viele Tools: PGP für Windows shred für Linux: Überschreibt alle Datenblöcke vollständig und mehrfach mit verschiedenen Bytemustern Harald Baier Computerforensik h_da WS 2010/
24 Inhaltsanalyse: Problem verschlüsselte Dateien (1/2) Verschlüsselung auf verschiedenen Stufen: Dateiverschlüsselung auf Anwendungsebene Verschlüsselung auf Dateisystemebene An der Hardware-Schnittstelle Dateiverschlüsselung auf Anwendungsebene: Beispiel: PGP, GnuPG Oft leitet sich Entschlüsselungsschlüssel aus Passwort ab In der Regel Brute-Force-Angriff auf Passwort: Schwaches Passwort --> Daten rekonstruierbar Typischerweise liegen Metadaten im Klartext vor Harald Baier Computerforensik h_da WS 2010/
25 Inhaltsanalyse: Problem verschlüsselte Dateien (2/2) Verschlüsselung auf Dateisystemebene: Beispiele: TrueCrypt, EFS/BitLocker (Windows), DM-Crypt (Linux) Manchmal liegen Dateisystemdaten im Klartext vor Entschlüsselung wie bei Dateiverschlüsselung Erfolgversprechenderer Ansatz als Brute-Force: Live-Analyse des RAM Suche nach Entschlüsselungsschlüssel im Hauptspeicher Techniken: Dump des RAM, Cold Boot Harald Baier Computerforensik h_da WS 2010/
26 Analyse des Dateinamens Dateilöschungsstrategien: Dateisystem setzt Eintrag im Verzeichnis auf unbenutzt: Name der Datei und Verweis auf Metadaten bleibt erhalten Sehr einfache Rekonstruktion Dateisystem erhält Name der Datei, setzt aber zusätzlich den Verweis auf Metadateneintrag auf '0' Bei chronologischer Vergabe der Metadateneinträge oft zu erraten, welche Metadaten zur gelöschten Datei gehören Achtung: Freigegebene Datenblöcke können wieder beschrieben sein Suche nach Schlüsselwörtern in Dateinamen Harald Baier Computerforensik h_da WS 2010/
27 Analyse der Metadaten (1/2) Metadaten können benutzt oder unbenutzt sein Bei Löschen einer Datei werden Metadaten oft freigegeben Tool ils (TSK) zeigt alle benutzten sowie wieder freigegebenen Metadateneinträge eines Verzeichnisses an Typischer Aufruf: ils -a image Danach Zugriff auf die Metadaten selbst: Tool istat (TSK) zeigt Inhalt der Metadaten an Typischer Aufruf: istat image inode Dann sind Zeitstempel der Datei sowie Adressen der Datenblöcke bekannt Harald Baier Computerforensik h_da WS 2010/
28 Analyse der Metadaten (2/2) Auswertung der Zeitstempel: Timelining Chronologische Auswertung von Zugriffs-/Änderungszeiten Ergibt wichtige Anhaltspunkte für Vorgehen des Angreifers Vorsicht: Zeitstempel sind keine essentiellen Daten Auswertung der Datenblöcke: Direktes Ansehen oder Herausschreiben Analyse auf Anwendungsebene File Slack nicht vergessen!!! Harald Baier Computerforensik h_da WS 2010/
29 Analyse der Anwendungsdaten (1/2) Typischerweise nur Journal-Analyse Journal hält zuletzt durchgeführte Änderungen am Dateisystem vor: Effizientere Wiederherstellung bei Absturz Beim Booten wird Journal gegen Dateisystem getestet Ggfls. werden Änderungen eingespielt Journal-Analyse bedarf weiterer Forschungsarbeit Tools aus TSK jls: Anwendbar für FAT, NTFS, ext2/ext3, ISO9660 jcat: Zeigt Blöcke im Journal an Harald Baier Computerforensik h_da WS 2010/
30 Analyse der Anwendungsdaten (2/2) jls [-f fstype] image Harald Baier Computerforensik h_da WS 2010/
GJU IT-forensics course
GJU IT-forensics course Harald Baier Analyse von FAT-Dateisystemen Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Harald Baier IT-forensics course
MehrComputerforensik. Wintersemester 2009/2010
Wintersemester 2009/2010 Kapitel 3: Dateisystemanalyse Inhalt Allgemeines zu Dateisystemen Linux-Dateisysteme am Beispiel von ext2/ext3 Microsoft-Dateisysteme FAT NTFS 2 Inhalt Allgemeines zu Dateisystemen
MehrComputerforensik. Wintersemester 2010/2011
Computerforensik Wintersemester 2010/2011 Harald Baier Kapitel 5: Analyse von FAT-Dateisystemen Inhalt Layout eines FAT-Dateisystems Anwendungs-Beispiel: Digitalkamera Metadaten eines FAT-Dateisystems
MehrVorlesung Computerforensik. Kapitel 5: Dateisystemforensik und FAT-Analyse
Harald Baier FAT-Analyse / SS 2016 1/78 Vorlesung Computerforensik Kapitel 5: Dateisystemforensik und FAT-Analyse Harald Baier Hochschule Darmstadt, CRISP SS 2016 Harald Baier FAT-Analyse / SS 2016 2/78
MehrComputerforensik. Wintersemester 2011/2012
Computerforensik Wintersemester 2011/2012 Harald Baier Kapitel 5: Analyse von FAT-Dateisystemen Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen
MehrInhalt. Allgemeines zu Dateisystemen. Linux-Dateisysteme am Beispiel von ext2/ext3. Microsoft-Dateisysteme FAT NTFS
Inhalt Allgemeines zu Dateisystemen Linux-Dateisysteme am Beispiel von ext2/ext3 Microsoft-Dateisysteme FAT NTFS Harald Baier Computerforensik h_da WS 2009/2010 101 Grundlegendes zu NTFS (1/2) NTFS = New
MehrComputerforensik. Wintersemester 2010/2011
Computerforensik Wintersemester 2010/2011 Harald Baier Kapitel 7: Analyse eines NTFS-Dateisystems Inhalt Allgemeines zu NTFS Attribute File System Metadata Files Harald Baier Computerforensik h_da WS 2010/2011
MehrAnkündigungen
Ankündigungen 22.4.2010 Morgen: Vortrag von Thomas Obkircher, PWC, Frankfurt Übung 2 nächste Woche: Findet am Donnerstag im Vorlesungsslot statt (also 29.4.2010, 15:30-17:00) im PI Pool Dafür findet die
MehrSysteme 1. Kapitel 3 Dateisysteme WS 2009/10 1
Systeme 1 Kapitel 3 Dateisysteme WS 2009/10 1 Letzte Vorlesung Dateisysteme Hauptaufgaben Persistente Dateisysteme (FAT, NTFS, ext3, ext4) Dateien Kleinste logische Einheit eines Dateisystems Dateitypen
MehrDigitale Forensik Schulung Bundespolizeiakademie März 2009
Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 13+14: Dateisystemanalyse und (kommerzielle) Tools Dipl-Inform Markus Engelberth Dipl-Inform Christian Gorecki Universität Mannheim Lehrstuhl
MehrTop 3 Herausforderungen bei der forensischen Analyse von macos
21. Europäische Polizeikongress, Fachforum Digitale Forensik 06. Februar 2018 Top 3 Herausforderungen bei der forensischen Analyse von macos Impulsvortrag von Marc Brandt Top 1 APFS und Metadaten Apple
MehrDigitale Forensik. Teile 7 und 8: Dateisystemanalyse und (kommerzielle) Tools. Schulung Bundespolizeiakademie Juli 2007
Digitale Forensik Schulung Bundespolizeiakademie Juli 2007 Teile 7 und 8: Dateisystemanalyse und (kommerzielle) Tools Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1
MehrWas machen wir heute? Betriebssysteme Tutorium 11. Mounten: Vorher. Frage 11.1.a
Was machen wir heute? Betriebssysteme Tutorium 11 Philipp Kirchhofer philipp.kirchhofer@student.kit.edu http://www.stud.uni-karlsruhe.de/~uxbtt/ Lehrstuhl Systemarchitektur Universität Karlsruhe (TH) 1
MehrDigital Forensics. Slackspace. 2011 DI Robert Jankovics DI Martin Mulazzani
Digital Forensics Slackspace Slackspace Übersicht: Slack allgemein NTFS Slack FAT Slack mit Steganographie Slack allgemein Slack Space: Bezeichnet den Speicherplatz zwischen Ende der Datei und Ende des
MehrÜbersicht. Boot Prozess, Arten von Festplatten, Standards
Festplattentechnologie Übersicht Boot Prozess, Arten von Festplatten, Standards Sicherung (Preservation) von Festplattendaten Allgemeine Methodik und Verlässlichkeit der Tools Lesen des Originals Schreiben
MehrEinführung FAT - File Allocation Table NTFS - New Technology Filesystem HFS - Hierachical Filesystem ext - Extended Filesystem Zusammenfassung
Lokale Dateisysteme Christine Arndt 9arndt@informatik.uni-hamburg.de Universität Hamburg - Studentin der Wirtschaftsinformatik 11. März 2011 Lokale Dateisysteme - Christine Arndt 1/34 Inhalt der Präsentation
MehrDateisystem: Einführung
Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redundanz beim speichern! Zusätzlich müssen Unterverzeichnisse
MehrDateisystem: Einführung
Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redundanz beim speichern! Zusätzlich müssen Unterverzeichnisse
MehrDateisystem: Einführung
Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redunanz beim speichern! Zusätzlich müssen Unterverzeichnisse
MehrDateisystem: Einführung
Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redunanz beim speichern! Zusätzlich müssen Unterverzeichnisse
MehrDigitale Forensik Schulung Bundespolizeiakademie März 2009
Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 11+12: Datenträgersicherung (inklusive Übung) Dipl-Inform Markus Engelberth Dipl-Inform Christian Gorecki Universität Mannheim Lehrstuhl
Mehr5.2 Analyse des File Slack
5.2 Analyse des File Slack 109 Es gibt an vielen Stellen eines Betriebssystems Fundorte für Gebrauchsspuren oder Hinweise auf Auffälligkeiten. Diese Stellen sollten grundsätzlich aufgesucht und analysiert
MehrBACKUP Datensicherung unter Linux
BACKUP Datensicherung unter Linux Von Anwendern Für Anwender: Datensicherung in Theorie und Praxis! Teil 4: Datenrettung Eine Vortragsreihe der Linux User Group Ingolstadt e.v. (LUG IN) in 4 Teilen Die
MehrLösung von Übungsblatt 6
Lösung von Übungsblatt 6 Aufgabe 1 (Dateisysteme) 1. Welche Informationen speichert ein Inode? Speichert die Verwaltungsdaten (Metadaten) einer Datei, außer dem Dateinamen. 2. Nennen Sie drei Beispiele
MehrEinführung in Dateisysteme
Proseminar Speicher- und Dateisysteme Agenda 1. Allgemeines 2. Grundlagen/ Konzeption eines Dateisystems 3. Strukturelle Konzepte von Dateisystemen/ Beispiele 4. Sicherheitsaspekte 5. Ausblick Seite 2
MehrCOMPUTER- FORENSIK HACKS
COMPUTER- FORENSIK HACKS } ;+ lr M- Lorenz Kuhlee Victor Völzow all r>.iik'! J i.'..- O'REILLY 8 Beijing Cambridge Farnham Köln Sebastopol Tokyo ; Inhalt Vorwort und Danksagungen Einleitung IX XIII Kapitel
MehrNaiver Ansatz. Blöcke und Seiten. Betriebssysteme I Sommersemester 2009 Kapitel 6: Speicherverwaltung und Dateisysteme
Betriebssysteme I Sommersemester 2009 Kapitel 6: Speicherverwaltung und Dateisysteme Hans-Georg Eßer Hochschule München Teil 3: Zusammenhängende Speicherzuordnung 06/2009 Hans-Georg Eßer Hochschule München
MehrBasisinformationstechnologie I Wintersemester 2011/ November 2011 Betriebssysteme
Basisinformationstechnologie I Wintersemester 2011/12 23. November 2011 Betriebssysteme Seminarverlauf 12. Oktober: Organisatorisches / Grundlagen I 19. Oktober: Grundlagen II 26. Oktober: Grundlagen III
MehrDateisysteme. Erweiterte Anforderungen an Speicher
Erweiterte Anforderungen an Speicher Mehr Speicher als adressierbar ist. Daten sollen nach Beendigung des Prozesses zur Verfügung stehen Mehrere Prozesse sollen auf die Daten zugreifen können. Nutzung
MehrDas ext2-dateisystem
Das ext2-dateisystem 18. Februar 2004 Geschichte Linux wurde unter Minix entwickelt. Dieses Betriebssystem hatte ein einfaches Dateisystem, das zudem noch sehr gut getestet war. So war das erste Dateisystem,
MehrJegiPortal. TrueCrypt Einrichten. Herbert Zach Version 2 vom
JegiPortal TrueCrypt Einrichten Herbert Zach Version 2 vom 01.07.2017 Unser Ziel Freeware Programm TrueCrypt kennenlernen TrueCrypt herunterladen und auf Windows 10 einrichten Bem: TrueCrypt kann grundsätzlich
MehrDATEIVERWALTUNG INHALTSVERZEICHNIS. STANZL Martin 4. HB/a. Verwendete Literatur: Konzepte der Betriebssysteme (Seiten 91-97)
DATEIVERWALTUNG STANZL Martin 4. HB/a Verwendete Literatur: Konzepte der Betriebssysteme (Seiten 91-97) INHALTSVERZEICHNIS 1. Die Aufteilung des Plattenspeichers... 2 2. Der Aufbau von Dateien... 2 3.
MehrBetriebssysteme 1. Thomas Kolarz. Folie 1
Folie 1 Betriebssysteme I - Inhalt 0. Einführung, Geschichte und Überblick 1. Prozesse und Threads (die AbstrakFon der CPU) 2. Speicherverwaltung (die AbstrakFon des Arbeitsspeichers) 3. Dateisysteme (die
MehrBetriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen
Betriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen 1 Files als lineare Liste File angeordnet als verkette Liste von Blöcken Jeder Block enthält Zeiger zum Nachfolger Zeiger = Adresse des Blocks
MehrKV Betriebssysteme (Rudolf Hörmanseder, Michael Sonntag, Andreas Putzinger)
SS 2006 KV Betriebssysteme (Rudolf Hörmanseder, Michael Sonntag, Andreas Putzinger) Datenpersistenz in OS - Dateien und Dateisysteme 1 Inhalt Anatomie / Terminologie Festplatten Boot-Vorgang Datei und
MehrHalt! Wo bin ich überhaupt?... C:\
Halt! Wo bin ich überhaupt?... C:\ FAT32 und Co Dateisysteme Datenträger FAT Forensik Bootreihenfolge Einschalten BIOS -> Power-On Self Test (POST) BIOS -> Master Boot Record (MBR) Bootsektor Betriebssystem
MehrStudienbrief 6 Analyse des FAT-Dateisystems Seite 83
Seite 83 61 Einführung Das in den 1970er Jahren von Microsoft entwickelte FAT-Dateisystem besitzt einen einfachen Aufbau und wurde vorwiegend für das damalige Microsoft etriebssystem DOS und ältere Windows-Varianten
MehrDateisysteme. Was ist ein Dateisystem?:
Partitionierung Dateisysteme Was ist ein Dateisystem?: Eine Zuordnung Dateiname zu Dateiinhalt Ein Dateisystem befndet sich auf einem Datenträger Ein Datenträger kann als Folge von Bytes gesehen werden
MehrÜbersicht. Festplattenanalyse. Dateisystemanalyse. Tools. Festplatten und Partitionen NTFS
Übersicht Festplattenanalyse Festplatten und Partitionen Dateisystemanalyse NTFS Tools Digitale Forensik, Schulung Bundespolizeiakademie, Juli 2007 Seite 42 NTFS New Technologies File System Standarddateisystem
MehrDigitale Forensik. Teil 5: Datenträgersicherung (inklusive Übung) Schulung Bundespolizeiakademie Juli 2007
Digitale Forensik Schulung Bundespolizeiakademie Juli 2007 Teil 5: Datenträgersicherung (inklusive Übung) Name und Datumwww.uni-mannheim.de Seite 1 Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl
MehrIT Sicherheit: IT-Forensik
Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 12.06.2018 1/39 IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CRISP, da/sec Security Group 12.06.2018 Dr. Christian Rathgeb IT-Forensik,
Mehr19. Mai 2004 Gewerbeschule Bad Säckingen Manuel Schneider
Partitionen und Dateisysteme Sinnvolle Partitionierung Linux Boot-Partition (ext2) Swap-Partition (swap) Root-Partition (reiserfs) Windows (ntfs) Partitionierung mit fdisk (Linux) :[~]#> fdisk /dev/hda
MehrIT Sicherheit: IT-Forensik
Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 1/40 IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 25.11.2015 Dr. Christian Rathgeb IT-Forensik,
MehrNOP-Generator C $E A
Specs CPU 65c02@8MHz 64K SRAM 32K ROM (Bänke zu je 8K) IO 65c22 VIA UART 16550 Video Display Processor TI9929 (alt) Yamaha V9958 (neu) Soundchip Yamaha YM3812 (OPL2) NOP-Generator 2013 65C02 11101010 $E
MehrMultibooting mit Windows 2000 und Windows XP
Multibooting mit Windows 2000 und Windows XP Einführung Ein Computer kann so konfiguriert werden, dass Sie bei jedem Neustart des Computers zwischen zwei oder mehr Betriebssystemen wählen können. Sie können
MehrStack-basierte Festplattenverschlüsselung
Stack-basierte Festplattenverschlüsselung ecryptfs Robby Zippel 26. Mai 2010 Inhaltsübersicht Grundlagen Virtual File System FiST Framework ecryptfs Fazit 2 Stack-basierte Verschlüsselung Verschlüsselungsdateisystem
MehrEinführung in Dateisysteme
Einführung in Dateisysteme Proseminar Speicher- und Dateisysteme Malte Hamann Sommersemester 2012 15.06.2012 Einführung Dateisysteme - Malte Hamann 1/29 Gliederung 1. Einführung 2. Grundlegendes Konzept
MehrIT Sicherheit: IT-Forensik
Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 30.11.2016 1/39 IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CRISP, da/sec Security Group 30.11.2016 Dr. Christian Rathgeb IT-Forensik,
MehrLokales Storage Teil 2
Lokales Storage Teil 2 Linux-Kurs der Unix-AG Zinching Dang 22. Juli 2015 LVM (1) Logical Volume Manager erfüllt gleichen Zweck wie Partitionierung erlaubt jedoch das Partitionieren über mehrere Datenträger
MehrBetriebssysteme WS 2012/13 Peter Klingebiel, DVZ. Zusammenfassung Kapitel 4 - Datenträger/Dateiverwaltung
Betriebssysteme WS 2012/13 Peter Klingebiel, DVZ Zusammenfassung Kapitel 4 - Datenträger/Dateiverwaltung Zusammenfassung Kapitel 4 Dateiverwaltung 1 Datei logisch zusammengehörende Daten i.d.r. permanent
MehrSysteme I: Betriebssysteme Übungsblatt 3
Institut für Informatik Arbeitsgruppe Autonome Intelligente Systeme Freiburg, 10 November 2015 Systeme I: Betriebssysteme Übungsblatt 3 Aufgabe 1 (1,5 Punkte) Betrachten Sie die Befehle du, df, mount Lesen
MehrBetriebssysteme, Rechnernetze und verteilte Systeme 1 (BSRvS1) Dateisysteme.
Betriebssysteme, Rechnernetze und verteilte Systeme 1 (BSRvS1) Dateisysteme Olaf Spinczyk 1 Arbeitsgruppe Eingebettete Systemsoftware Lehrstuhl für Informatik 12 TU Dortmund olaf.spinczyk@tu-dortmund.de
MehrPartitionierung unter Linux
Partitionierung unter Linux Die Struktur einer Festplatte Aufbau der Partitionstabelle und Regeln Programme zum Partitionieren Partitionslayouts Dateisysteme Volume Label Warum partitionieren? Mehrere
MehrStudienbrief 5 Dateisystemforensik Seite 71
Seite 71 5.1 Einführung Die grundlegende Aufgabe eines Dateisystems ist die (hierarchische) Verwaltung und Organisation von Daten, damit ein Zugriff auf die Daten effizient durchgeführt werden kann. Die
MehrTutorium Rechnerorganisation
Woche 11 Tutorien 3 und 4 zur Vorlesung Rechnerorganisation 1 Christian A. Mandery: KIT Universität des Landes Baden-Württemberg und nationales Grossforschungszentrum in der Helmholtz-Gemeinschaft www.kit.edu
MehrRO-Tutorien 15 und 16
Tutorien zur Vorlesung Rechnerorganisation Tutorienwoche 10 am 29.06.2011 1 Christian A. Mandery: KIT Universität des Landes Baden-Württemberg und nationales Grossforschungszentrum in der Helmholtz-Gemeinschaft
MehrVorlesung Computerforensik. Kapitel 0: Formalia und Inhalt
Harald Baier, Sebastian Gärtner Formalia u. Inhalt / SS 2018 1/28 Vorlesung Computerforensik Kapitel 0: Formalia und Inhalt Harald Baier, Sebastian Gärtner Hochschule Darmstadt, CRISP SS 2018 Harald Baier,
MehrPartitionieren und Formatieren
Partitionieren und Formatieren Auf eine Festplatte werden Partitionen angelegt, damit Daten an verschiedenen (relativ) unabhängigen Orten gespeichert werden können oder dass mehrere unabhängige Betriebssysteme
MehrBetriebssysteme I WS 2017/18. Prof. Dr. Dirk Müller. 05a 64-/32-Bit-Architekturen
Betriebssysteme I 05a 64-/32-Bit-Architekturen Prof. Dr. Dirk Müller Begriff Eine n-bit-architektur ist eine Prozessorarchitektur mit einer Wortbreite von n Bit. meist Zweierpotenzen: 8-, 16-, 32-, 64-Bit-Architekturen
Mehr6.2 FAT32 Dateisystem
6.2 FAT32 Dateisystem Dateisystem für Windows 98 einige Unterschiede zum Linux-Dateisystem EXT2: keine Benutzeridentifikation für Dateien und Verzeichnisse! Partitionen werden durch Laufwerke repräsentiert,
MehrComputerforensik. Wintersemester 2009/2010
Computerforensik Wintersemester 2009/2010 Harald Baier Kapitel 4: File-Carving, Verschlüsselung, Steganographie Motivation Im Rahmen forensischer Untersuchungen ergeben sich oft folgende Herausforderungen:
MehrVorlesung IT-Sicherheit. Kapitel 6: IT-Forensik
Harald Baier IT-Forensik / WS 2014/2015 1/43 Vorlesung IT-Sicherheit Kapitel 6: IT-Forensik Harald Baier Hochschule Darmstadt, CASED WS 2014/2015 Harald Baier IT-Forensik / WS 2014/2015 2/43 Grundlagen
MehrDigitale Forensik Schulung Bundespolizeiakademie März 2009
Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 15+17: NTFS und SRP-Analyse Dipl.-Inform. Markus Engelberth Dipl.-Inform. Christian Gorecki Universität Mannheim Lehrstuhl für Praktische
MehrOlga Perevalova Universität Hamburg 18-06-2015
Themeneinführung ext FAT NTFS ReFS HFS Fazit Lokale Dateisysteme Olga Perevalova Universität Hamburg 18-06-2015 1/22 Themeneinführung ext FAT NTFS ReFS HFS Fazit Themeneinführung Extended File System (ext/
MehrBetriebssysteme Teil 16: Dateisysteme (Beispiele)
Betriebssysteme Teil 16: Dateisysteme (Beispiele) 21.01.16 1 Übersicht UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Die in diesem Teil vorgestellten Informationen stellen
MehrKonfigurieren und Verwalten von Dateisystemen
Konfigurieren und Verwalten von Dateisystemen Übersicht Arbeiten mit Dateisystemen Verwalten der Datenkomprimierung Schützen von Daten mit Hilfe von EFS 1 Arbeiten mit Dateisystemen Verwenden von FAT oder
MehrDatenspeicher Festplatte - USB-Stick
Datenspeicher Festplatte - USB-Stick Geräte und Arten der Datenspeicherung, konstruktive Unterschiede Formatieren = Vorbereitung für den Gebrauch Gebrauchsspuren beseitigen Dynamische Festplatte HDD Hard-Disk-Drive
MehrLaufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1
Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Wie wird auf Festplatten zugegriffen? Es gibt nur einen Verzeichnisbaum, siehe Verzeichnisse Es gibt
MehrComputerforensik. Wintersemester 2009/2010
Computerforensik Wintersemester 2009/2010 Harald Baier Kapitel 2: Festplattenanalyse Inhalt Festplattentechnologie Master Boot Record Partitionstabellen Tools zur Sicherung und Untersuchung Harald Baier
MehrForensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim
Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim Teil 7: (Kommerzielle) Werkzeuge im Überblick Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik
MehrLokales Storage Teil 2
Lokales Storage Teil 2 Zinching Dang 15. Dezember 2014 1 LVM LVM (1) Logical Volume Manager erfüllt gleichen Zweck wie Partitionierung erlaubt jedoch das Partitionieren über mehrere Datenträger flexible
MehrVerzeichnisbaum. Baumartige hierarchische Strukturierung Wurzelverzeichnis (root directory) Restliche Verzeichnisse baumartig angehängt
Verzeichnisbaum Baumartige hierarchische Strukturierung Wurzelverzeichnis (root directory) Restliche Verzeichnisse baumartig angehängt / tmp etc var usr lib home bin man lib meier mueller schulze 1 Verzeichnisse
MehrBetriebssysteme I WS 2015/2016. Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404
Betriebssysteme I WS 2015/2016 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 28. Januar 2016 Betriebssysteme / verteilte Systeme Betriebssysteme
Mehr2. Darstellung von Information im Computer
Informationsbestände analysieren Darstellung von Information im Computer 2. Darstellung von Information im Computer Übung 2.1. Formatierung eines Datenträgers Ziel Sie haben ein Idee, wie in einem Computersystem
MehrBetriebssysteme I WS 2017/2017. Betriebssysteme / verteilte Systeme Tel.: 0271/ , Büro: H-B 8404
Betriebssysteme I WS 2017/2017 Betriebssysteme / verteilte Systeme rolanda.dwismuellera@duni-siegena.de Tel.: 0271/740-4050, Büro: H-B 8404 Stand: 14. September 2017 Betriebssysteme / verteilte Systeme
MehrAlle Metadaten werden in Dateien gehalten
6 Beispiel: Windows NT (NTFS) 6.3 Metadaten 6.3 Metadaten Alle Metadaten werden in Dateien gehalten Indexnummer 0 1 2 3 4 5 6 7 8 16 17 MFT MFT Kopie (teilweise) Log File Volume Information Attributtabelle
MehrImplementierung eines Dateisystems für Java-basierte eingebettete Systeme
Fakultät Informatik, Institut für Technische Informatik, Professur VLSI-Entwurfssysteme, Diagnostik und Architektur Implementierung eines Dateisystems (Zwischenstand Bachelorarbeit) Dresden, 2012 Gliederung
MehrBetriebssysteme (BS)
Betriebssysteme (BS) Dateisysteme Olaf Spinczyk Arbeitsgruppe Eingebettete Systemsoftware Lehrstuhl für Informatik 12 TU Dortmund Olaf.Spinczyk@tu-dortmund.de http://ess.cs.uni-dortmund.de/~os/ http://ess.cs.tu-dortmund.de/de/teaching/ss2011/bs/
MehrDie Bilder sind weg! Erste Erlebnisse mit Data-Re
Erste Erlebnisse mit Data-Recovery Chemnitzer Linux User Group 11. Mai 2006 Erste Erlebnisse mit Data-Re Wie kam es dazu? Fälle: 1 Fotoapparat, 750 MByte Bilder, wegen Umzug lange nicht gesichert Karte
MehrKap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1
Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1 E 3 EXT2 Dateisystem Lernziele Aufbau des ext2-dateisystems kennenlernen Verwaltungsstrukturen auf dem Datenträger analysieren Hard- und Softlinks Übungsumgebung
MehrDiscover Media Gen.2 (MIB) Update Kartenmaterial
Discover Media Gen.2 (MIB) Update Kartenmaterial Update Kartenmaterial Voraussetzungen für das Navigationskarten-Update Sie benötigen die SD-CDA-Karte mit den bisherigen Kartendaten. Sie finden die SD-CDA-Karte
MehrDateisysteme. Datei: Objekt zum Abspeichern von Daten Die Datei wird vom Dateisystem als Teil des Betriebssystems verwaltet. c~åüüçåüëåüìäé açêíãìåç
Dateisysteme Datei: Objekt zum Abspeichern von Daten Die Datei wird vom Dateisystem als Teil des Betriebssystems verwaltet. Die Datei hat einen eindeutigen Namen. 0 max Adressraum der Datei Dateilänge
MehrLinux booten. Jörg Ahrens
Linux booten Was passiert beim Einschalten eines PCs? Das BIOS Viele Bootsektoren Bootloader (Grub, LILO) Kernel Parameter und InitRD Feinheiten beim Plattenausfall Der Bootvorgang Beim Einschalten eines
Mehr5. Semester Informatik Betriebssysteme Schriftliche Prüfung SS 2000
5. Semester Informatik Betriebssysteme Schriftliche Prüfung SS 2000 Prüfer: Prof. Dr. Kern / Prof. Dr. Wienkop Prüfungstermin: 18.7.00, 8:30 Uhr Dauer: 90 Minuten 6 Aufgabenblätter, Bearbeitungszeit: 90
MehrFile Slack Analyse unter Linux
J O H A N N E S K E P L E R U N I V E R S I T Ä T L I N Z N e t z w e r k f ü r F o r s c h u n g, L e h r e u n d P r a x i s File Slack Analyse unter Linux Seminararbeit Sicherheitsaspekte in der Informatik
MehrDie UNIX-Kommandozeile
Die UNIX-Kommandozeile Kommando [-Optionen] [Argumente] Kommando Option Argument eingebautes Shell-Kommando oder ausführbare Datei (Programm) verändert die Grundeinstellung (voreingestellte Funktionalität)
MehrVorlesung Computerforensik. Kapitel 6: Prozessmodelle
Harald Baier Prozessmodelle / SS 2015 1/18 Vorlesung Computerforensik Kapitel 6: Prozessmodelle Harald Baier Hochschule Darmstadt, CASED SS 2015 Harald Baier Prozessmodelle / SS 2015 2/18 Einführung Vorgehensmodelle
Mehr