Studienbrief 7 Analyse des NTFS-Dateisystems Seite 113

Größe: px
Ab Seite anzeigen:

Download "Studienbrief 7 Analyse des NTFS-Dateisystems Seite 113"

Transkript

1 Seite Einführung Das New Technology File System (NTFS) ist ein von Microsoft entwickeltes Dateisystem und das Standarddateisystem für die Formatierung von Dateisystempartitionen seit Windows NT/2000. Es löste das FAT-Dateisystem für Microsoft- etriebssysteme ab. Aufgrund der Verbreitung von Windows ist NTFS das gebräuchlichste Dateisystem bei Endnutzern. Dateisystemgröße Anzahl Sektoren pro Cluster 512 Mi (oder weniger) yte 513 Mi Mi 2 1 i 1025 Mi - 2 Gi 4 2 i größer als 2 Gi 8 4 i Default Cluster Größe Im Unterschied zu FAT adressiert NTFS alle Sektoren des Dateisystems durch Cluster. Insbesondere steht am Anfang von Cluster 0 der ootsektor (siehe Abbildung 7.1). Die Clustergröße ist abhängig von der Größe des Dateisystems. Die von Microsoft in [23] veröffentlichte Clustergröße in Abhängigkeit von der Dateisystemgröße finden Sie in Tabelle 7.1. Da eine NTFS-Dateisystempartition heute typischerweise größer als 2 Gi ist, finden Sie in NTFS eine Clustergröße von 4 i vor. Diese Clustergröße nutzen wir auch in Abbildung 7.1. Jedes yte eines NTFS-Dateisystems gehört zu einer Datei bzw. einem Verzeichnis. Dieses Paradigma von NTFS nennt man everything is a file. Daher finden Sie in NTFS auch Dateisystemdaten und Metadaten in Dateien. Wie Sie gleich bei der Diskussion zum Design von NTFS erfahren, nutzt NTFS zur Größenangabe 64-it-Adressen. Die entsprechende Information zur Dateisystemgröße steht im ootsektor, sie gibt die Größe als Anzahl der Sektoren des Dateisystems an (siehe Tabelle 7.3). Laut Microsoft (Tabelle 3.2 in [24]) nutzen aktuelle NTFS-Implementiertungen aber nur die 32 niederwertigsten its. ei einer Sektorgröße von 512 yte erhalten wir eine maximale Größe des Dateisystems von (2 32 1) 512 yte yte = 2 41 yte = 2 Ti. (7.1) Das ist für Endanwendersysteme gerade noch ausreichend. Microsoft motiviert diese eschränkung mit der noch verbreiteten Limitierung durch das DOS Partitionsschema, das genau diese Partitionsgrößengrenze verursacht. Das Design von NTFS ist deutlich moderner als das onzept zum FAT-Dateisystem. Wir stellen einige zentrale Designeigenschaften von NTFS vor und rufen uns dabei einige Charakteristika des FAT-Dateisystems in Erinnerung, die wir als verbesserungswürdig einstufen. NTFS Tabelle 7.1: Clustergröße in NTFS in Abhängigkeit von der Dateisystemgröße [23] Everything is a file Maximale Dateisystemgröße Design LA Abb. 7.1: Layout eines NTFS-Dateisystems S $oot $MFTMirr $MFT D S Cluster Adresse 0 S - ootsektor S - ackup ootsektor DS - Dateisystem-Slack S

2 Seite 114 ackup wichtiger Dateisystemdatenstrukturen: Eine unabhängige opie von wichtigen Dateisystemdatenstrukturen (zum eispiel des ootsektors) ist für die Wiederherstellung eines defekten Dateisystems wichtig. ei FAT12/16 fehlt eine solche Sicherungskopie, bei FAT32 liegt diese in der Nähe des originalen ootsektors. In NTFS gibt es ackups der zwei zentralen Dateisystemdatenstrukturen: des ootsektors und des Master File Tables (MFT). Der ootsektor ist der erste Sektor des Dateisystems. Nach dem Paradigma everything is a file ist der ootsektor Teil einer Dateisystemdatei. Diese Datei heißt $oot. itte merken Sie sich, dass in NTFS die Dateinamen zentraler Dateien des Dateisystems mit dem Dollarzeichen beginnen. NTFS legt eine Sicherungskopie des ootsektors im letzten Sektor der Partition außerhalb des Dateisystems ab. Die ackupkopie des ootsektors liegt also im Dateisystemslack (siehe Abbildung 7.1). Das ist sinnvoll, da die Sicherungskopie vor Zugriffen des Dateisystems geschützt ist. Die zweite zentrale Dateisystemdatenstruktur in NTFS ist das Master File Table (MFT). Die MFT wird in der Datei $MFT gespeichert. In der MFT werden zentral die Metadaten aller Objekte des Dateisystems gespeichert. Daher legt NTFS eine ackupkopie der ersten Einträge der MFT in der Datei $MFTMirr an. In heutigen NTFS-Dateisystemen liegt die $MFTMirr typischerweise direkt hinter der Datei $oot (siehe Abbildung 7.1). Zentrale Metadaten: Im FAT-Dateisystem liegen Metadaten in Verzeichniseinträgen, die überall im Datenbereich des FAT-Dateisytems liegen können. Das bringt mehrere Nachteile mit sich, zum eispiel ist eine Referenzierung der Metadaten über eine Metadatenadresse in FAT sehr umständlich und der Zugriff auf die Metadaten ist mit Performanzeinbußen verbunden. In NTFS liegt mit der eben erwähnten MFT eine zentrale Datenstruktur vor, die die Metadaten aller Objekte in einer zentralen Datei des Dateisystems verwaltet. 64-it-Felder: Für wichtige enngrößen im Dateisystem (zum eispiel die Angabe der Dateisystemgröße oder der Dateigröße) nutzt das FAT-Dateisystem ein 32-it-Feld. Damit sind heutige Datenträger- und Dateigrößen im Ti- ereich nicht immer abzudecken (zum eispiel beträgt in FAT die maximale Dateigröße (2 32 1) yte 4 Gi, was schon für Videos nicht immer ausreichend ist). NTFS nutzt eine 64-it-Adressierung für solche Felder und kann daher auf absehbare Zeit Größenangaben im NTFS-Dateisystem darstellen. Format der Zeitstempel: Das onzept der Zeitstempel in FAT dient in mehrerer Hinsicht als Negativbeispiel. Zunächst ist die unterschiedliche Genauigkeit unsinnig (Erzeugungszeitpunkt auf 10 ms genau, letzter schreibender Zugriff auf 2 Sekunden genau, letzter lesender Zugriff auf den Tag genau). In NTFS gibt es vier Zeitstempel, die allesamt die Zeit auf 100 Nanosekunden genau angeben. In FAT werden unterschiedliche Felder des Zeitstempels separat durch ein nicht-offensichtliches Verfahren kodiert (Datum, Uhrzeit, Zehn- Millisekunden). NTFS hingegen nutzt ein einfaches onzept, das die Anzahl einer Zeiteinheit (in NTFS ist das die Einheit 100 Nanosekunden) bezüglich eines Referenzzeitpunkts angibt. Aus forensischer Sicht sollten Zeitstempel mindestens sekundengenau angegeben werden. Eine taggenaue Angabe ist im Hinblick auf eine mögliche Alibifrage zu ungenau. NTFS nutzt wie eben erwähnt eine viel höhere Genauigkeit, nämlich 100 Nanosekunden. Flexibilität und Erweiterbarkeit: Im Hinblick auf die eschreibung der Objekte ist FAT statisch. Es gibt lediglich für jedes Objekt einen asisverzeichniseintrag mit statisch festgelegter Spezifikation. Es gibt keine Möglichkeit der Erweiterbarkeit in FAT. NTFS verfolgt das onzept, bei der eschreibung

3 7.1 Einführung Seite 115 von Objekten Attribute zu verwenden. Neben Metadaten oder Dateinamen werden auch die die Inhaltsdaten, Zugriffsrechte oder Verschlüsselungsschlüssel einer Datei oder eines Verzeichnisses in entsprechenden Attributen der Datei oder des Verzeichnisses gespeichert. Die Anzahl der Attribute sowie ihre Definition sind dabei flexibel. Damit ist NTFS flexibel und erweiterbar. Auf das Attributkonzept von NTFS gehen wir in Abschnitt 7.4 ein. Sicherheitsfeatures: Das FAT-Dateisystem sieht keinerlei elementare Sicherheitsmaßnahmen vor. eispielsweise darf jeder, der auf das Dateisystem Zugriff hat, auf alle Objekte in jeder Weise zugreifen. NTFS sieht per Design elementare Sicherheitseigenschaften wie Zugriffsrechte vor. Weiterhin unterstützt es Verschlüsselung auf Dateiebene, d.h. Sie können in NTFS mittels des Encrypting File System (EFS) die Inhaltsdaten einer Datei verschlüsseln. Auf EFS gehen wir in Abschnitt?? ein. omfortfeatures: Nachrangig, aber im Hinblick auf Effizienz und enutzerfreundlichkeit eines Dateisystems, sind folgende Eigenschaften von NTFS ebenfalls wichtig (wir nennen Sie omfortfeatures, weil sie für die eigentliche ernaufgabe des Dateisystems nicht notwendig sind): NTFS enthält ein Journal für Metadaten. Im Fall eines Systemabsturzes können so die noch nicht im Dateisystem abgebildeten Änderungen der Metadaten behoben werden und das Dateisystem in einen konsistenten Zustand versetzt werden. Daneben bietet NTFS die Möglichkeit eines Inhaltsdatenjournals. Dieses wird von den Applikationen direkt ohne Mitwirkung des Dateisystems genutzt. Lange Dateinamen waren in FAT nur durch einen Workaround möglich, nämlich zusätzliche Verzeichniseinträge. In NTFS sind per Design Dateinamen bis zu einer Länge von 255 Zeichen möglich. In manchen Situationen möchte man an unterschiedlichen Orten im Verzeichnisbaum das gleiche Objekt speichern. Ein typisches Anwendungsszenario ist, die Dateien einer ausführbaren Datei in einem festen Ordner zu speichern, die eigentlichen Executables aber in einem anderen Verzeichnis abzulegen und auf diese zu verweisen. Dieser Verweis heißt ein Link. eispielsweise verlinkt die Datei /usr/bin/thunderbird unter Ubuntu-Linux auf das Shell-Skript /usr/lib/thunderbird/thunderbird.sh. In FAT gab es nicht die Möglichkeit, einen Link anzulegen. NTFS sieht dieses onzept vor. Nach dieser (nicht vollständigen) Diskussion zum Design von NTFS ist offensichtlich, dass Performanz, Zuverlässigkeit und zusätzliche Funktionalität (z.. Sicherheit, Skalierbarkeit und die Unterstützung großer Speichermedien) dem NTFS-onzept zugrunde liegen [23]. Dadurch ist die Struktur im Vergleich zu FATx zwar komplexer, das Dateisystem genügt aber modernen Ansprüchen. Problematisch ist die fehlende öffentliche Spezifikation für NTFS. Daher gibt es lediglich zahlreiche inoffizielle eschreibungen [8], die mittels Reverse Engineering erstellt wurden. Mittlerweile ist die Unterstützung von NTFS in offenen etriebssystemen wie Linux hervorragend. Diese Situation ist analog zum FAT-Dateisystem. Im weiteren Teil dieses Studienbriefs lernen Sie die analysefähigen Datenstrukturen eines NTFS-Dateisystems im Detail kennen. Wir beginnen in Abschnitt 7.2 mit den Dateisystemdaten, die für ein grundlegendes Verständnis und den Einstieg in das NTFS-Dateisystem notwendig sind. Danach betrachten wir in Abschnitt 7.3 die Metadaten in NTFS und mit dem Master File Table (MFT) die zentrale Datenstruktur, die NTFS-Metadaten enthält. NTFS kapselt die eschreibungen und Inhalte eines Objekts in Attributen. In Abschnitt 7.4 lernen Sie das Attributkonzept sowie die wichtigsten Attribute in NTFS kennen. Dateinamen stehen in NTFS in Verzeichnissen sowie in der MFT. Wir widmen uns dieser ategorie in Abschnitt??. Journal Lange Dateinamen Links Designprinzipien Fehlende Spezifikation Weiterer Aufbau

4 Seite 116 Auf die Analyse der Inhaltsdaten in NTFS gehen wir in Abschnitt?? ein. Danach betrachten wir in Abschnitt?? das Encrypting File System (EFS), also wie mit Mitteln des NTFS-Dateisystems das Schutzziel Vertraulichkeit erreicht wird. Abschnitt?? enthält dann zusammenfassende Abschlussbetrachtungen. Dateisystemdateien Dateiname beginnt mit $ Tabelle 7.2: Dateisystemdateien in NTFS 7.2 Dateisystemdaten NTFS ist ein modernes Dateisystem, das auf aktuelle und auch zukünftige Anforderungen eingestellt ist. Ein zentrales Paradigma von NTFS ist es, alle Informationen des Dateisystems (also insbesondere Dateisystem- und Metadaten) in Dateien abzulegen (everything is a file). In diesem Abschnitt lernen Sie die wichtigsten Dateien kennen, um das Dateisystem zu nutzen. Zwar nennt rian Carrier [8] diese Dateien File System Meta Data Files, also Metadateien des Dateisystems, wir nennen diese zentralen Dateien einfach nur Dateisystemdateien. NTFS sieht 16 Dateisystemdateien vor, auch wenn aktuell noch nicht 16 solche Dateien in einem NTFS-Dateisystem genutzt werden. Der Name einer Dateisystemdatei beginnt mit dem Dollarzeichen $; einzige Ausnahme ist das Wurzelverzeichnis, das den Dateinamen. trägt (also einfach nur aus dem Punkt besteht). NTFS nutzt für die Dateisystemdateien die Metadatenadressen 0 bis 15, die Zuordnung der Metadatenadresse zur jeweiligen Dateisystemdatei und eine kurze eschreibung finden Sie in Tabelle 7.2. Metadatenadresse Dateiname eschreibung 0 $MFT Für jedes Objekt des Dateisystems gibt es einen Eintrag in der MFT, der die Attribute (z.. Metadaten) des Objekts speichert. 1 $MFTMirr ackup der ersten vier MFT-Einträge 2 $LogFile Metadatenjournal 3 $Volume Speichert Laufwerkinformationen (Volume Label, Identifier, Versionsnummer des Dateisystems) 4 $AttrDef Enthält die Zuordnung der Attribute Type Identifier zu dem Attribut-ezeichner für diese NFTS- Dateisysteminstanz samt Mindest- und Maximalgröße des Attributs. 5. Wurzelverzeichnis des Dateisystems. Manche Autoren bezeichnen das Wurzelverzeichnis auch mit $Root. 6 $itmap Jedes it in dieser Datei gibt den elegtstatus des zugehörigen Clusters im Dateisystem an. 7 $oot Diese Datei enthält den ootsektor und damit Schlüsselinformationen über das Dateisystem. Die Datei beginnt in Cluster 0. 9 $Secure Definiert Sicherheitsdeskriptoren, die über eine Secure ID im $STANDARD_INFORMATION-Attribut referenziert werden und z.. Zugriffsberechtigungen festlegen. $MFT $MFT und $MFTMirr Die MFT steht in der Dateisystemdatei $MFT. Ihre Metadatenadresse ist 0. Strukturell besteht die MFT aus Einträgen fester Größe. In den MFT-Einträgen stehen zentrale Informationen zu dem referenzierten Objekt, insbesondere die Metadaten sowie die Inhaltsdaten oder ein Verweis darauf. Alle Informationen in einem MFT-

5 7.2 Dateisystemdaten Seite 117 Eintrag werden in Form eines Attributs gespeichert. Auf das Attributkonzept von NTFS gehen wir in Abschnitt 7.4 ein. Die Größe jedes MFT-Eintrags ist gleich, sie wird durch ein Datenfeld im ootsektor festgelegt (siehe Tabelle 7.3). Die einzige gebräuchliche Größe für einen MFT-Eintrag ist 1 i. Die MFT-Einträge werden sequenziell von vorne nach hinten beginnend bei Null nummeriert. Diese Zahl ist die Metadatenadresse des zugehörigen Objekts. Die erste yte-sequenz der MFT ist also der MFT-Eintrag zur Metadatenadresse 0 und damit für die MFT selbst. Die zweite yte-sequenz der MFT (also Offset bis der MFT) ist der MFT-Eintrag zur Metadatenadresse 1 und damit für die Datei $MFTMirr. Die Metadatenadressen 0 bis 15 sind für Dateisystemdateien reserviert, alle weiteren Dateien erhalten eine Metadatenadresse 16. Für jedes Objekt (also für jede Datei und für jedes Verzeichnis) gibt es mindestens einen asiseintrag in der MFT. Falls die zugehörigen Attribute nicht in einen MFT- Eintrag passen, nutzt NTFS weitere MFT-Einträge für dieses Objekt. Das etriebssystem Windows reserviert einen Mindestanteil der Dateisystempartition für die MFT. Damit wird garantiert, dass die MFT auf einem relativ vollen Datenträger weitere MFT-Einträge anlegen kann und dass sie nur in seltenen Fällen fragmentiert vorliegt. Dieser für die MFT reservierte ereich heißt MFT-Zone. Der Registry-ey zur Festlegung des Anteils der MFT-Zone am Dateisystem lautet NtfsMFTZoneReservation. Ein typischer Wert unter Windows XP war 12.5% der Dateisystemgröße 1, für heutige Partitionen im Ti-ereich können Sie aber von deutlich kleineren MFT-Größenanteilen als 12.5% ausgehen. Die MFT wird nie kleiner, weil nicht benötigte MFT-Einträge als frei markiert werden, aber nicht gelöscht werden. Wir besprechen die MFT im Detail in Abschnitt 7.3. Die Dateisystemdatei $MFTMirr hat Metadatenadresse 1. Sie enthält die opie der ersten vier Einträge der MFT (also MFT, MFTMirror, das Metadatenjournal sowie die Laufwerkinformationen). Ihr Ziel ist die Wiederherstellung der MFT, falls es zu einem Sektorfehler am Anfang der MFT kommt. Da die typische NTFS- Clustergröße 4 i ist und jeder MFT-Eintrag 1 i belegt, besteht die MFTMirror aus genau einem Cluster. Aktuelle NTFS-Versionen legen die MFTMirror in Cluster 2 direkt hinter der Datei $oot ab. Nummerierung der MFT-Einträge asiseintrag MFT-Zone $MFTMirr LA 0 Abb. 7.2: Layout eines NTFS-Dateisystems S $oot $MFTMirr $MFT D S Cluster Adresse C A C E S - ootsektor DS - Dateisystem-Slack MFTR - MFT-Record (= MFT-Eintrag) Metadaten Adresse MFTR $MFT 1024 yte MFTR MFTR MFTR MFTR $MFTMirr $LogFile $Volume $AttrDef MFTR MFTR. (Root) $itmap MFTR $oot... In Abbildung 7.2 sehen Sie eine Übersicht über die bisher bekannte Vorgehensweise zum Einbinden des Dateisystems. Zunächst liest das einbindende etriebssystem den ootsektor am Anfang des Dateisystems und kann über die Clustergröße und die Clusteradresse des Anfangs der MFT C A auf die MFT zugreifen. Aus den einzelnen MFT-Einträgen der Dateisystemdateien, die oft auch MFT-Records oder MFT-Entries genannt werden, extrahiert das etriebssystem dann die grundlegenden Informationen über diese NTFS-Instanz. Übersicht 1 Zugriff am

6 Seite 118 $LogFile $UsnJrnl $LogFile ei NTFS handelt es sich um ein Metadatenjournal führendes Dateisystem, d.h. Veränderungen im Dateisystem werden protokolliert. Metadaten veränderter Dateien behalten solange ihre Gültigkeit in der bisherigen Form, bis der Schreibvorgang als erfolgreich im Journal eingetragen wurde. Tritt ein Systemfehler beim Schreiben auf, werden alle Wiederherstellungsoperationen automatisch ausgeführt. In NTFS wird das Journal auch als Logdatei bezeichnet. Das Metadatenjournal in NTFS wird in der Datei $LogFile gespeichert. Es besitzt die Metadatenadresse 2. Neben dem Metadatenjournal gibt es noch das Änderungsjournal, das in der Datei $UsnJrnl gespeichert wird. Das Änderungsjournal ist keine Dateisystemdatei, es hat daher eine Metadatenadresse 16. Die Datei $UsnJrnl wird direkt von Anwendungen genutzt, um Änderungen am Inhalt der Dateien zu speichern. ootsektor Tabelle 7.3: Essentielle Daten eines NTFS-ootsektors $oot Wie in jedem Dateisystem enthält der ootsektor von NTFS (also der erste Sektor der NTFS-Dateisystempartition) Angaben zum Dateisystem wie Sektorgröße, Clustergröße, Dateisystemgröße und die Lage der MFT. Der ootsektor ist der erste Sektor der Datei $oot, die über die Metadatenadresse 7 angesprochen wird. Die essentiellen Daten des NTFS-ootsektors finden Sie in Tabelle 7.3. Adresse (dez.) Adresse (hex.) eschreibung C Größe eines Sektors in ytes D Größe eines Clusters in Sektoren F Größe des Dateisystems in Sektoren Clusteradresse des ersten Clusters der MFT Größe eines MFT-Eintrags (vorzeichenbehaftet, erechnung siehe Seite 118) Größe eines Index-Records (vorzeichenbehaftet, erechnung siehe Seite 118) Essentielle Daten eines NTFS-ootsektors Größe MFT-Eintrag Die Sektorgröße (Offset 11 bis 12) sowie die Clustergröße (Offset 13) stehen am gleichen Offset wie in einem FAT-ootsektor. Die Größe des Dateisystems in Sektoren steht als 64-it-Wert an Offset 40 bis 47. Davon werden aber typischerweise nur die 32 niederwertigsten its verwendet, woraus sich die in Gleichung (7.1) hergeleitete Maximalgröße eines NTFS-Dateisystems von 2 Ti ergibt. Die estimmung der Größe eines MFT-Eintrags (Offset 64 im ootsektor) geschieht über einen 8-it-Wert n. Die Zahl n ist als signed integer zu interpretieren, wie üblich im Zweierkomplement. Aus dem Wert n ergibt sich die Größe eines MFT- Eintrags wie folgt: Gilt n > 0, dann beträgt die Größe eines MFT-Eintrags n Cluster. Gilt n < 0, dann beträgt die Größe eines MFT-Eintrags 2 n yte. Index-Record Verzeichnisse werden in NTFS als Index-aumstruktur realisiert. In dem Indexbaum gibt es hierarchische noten. indknoten werden in Index-Records gespeichert, worauf wir in Abschnitt?? eingehen. Die Größe eines Index-Records steht an Offset 68 im ootsektor, die Interpretation des 8-it-Werts ist analog zu der Größenbestimmung eines MFT-Eintrags. Diese Größen sollen Sie an Hand eines eispiels in ontrollaufgabe 7.1 bestimmen.

7 7.2 Dateisystemdaten Seite 119 Neben den essentiellen Daten zum NTFS-Dateisystem enthält der NTFS-ootsektor auch ootcode zum Laden des Windows-etriebssystem (sofern es eine bootfähige Partition ist) sowie an Offset 3 bis 10 einen ASCII-String, der mit NTFS beginnt und den Rest des Strings mit Leerzeichen auffüllt. Nicht-essentielle Daten eines NTFS-ootsektors eispiel 7.1: NTFS-ootsektor In diesem eispiel betrachten wir Datenstrukturen im ootsektor eines NTFS-Dateisystems. Die Dateisystempartition liegt als Image-Datei image-ntfs.dd vor. Da der ootsektor der erste Sektor der Dateisystemdatei $oot ist und diese die Metadatenadresse 7 hat, lesen wir den ootsektor über icat aus. $ icat image-ntfs.dd 7 xxd : eb52 904e R.NTFS : f f00 ff ? : ff1f : U! : f b2f4 d5cc 2cd6 cce8..., : fa33 c08e d0bc 007c fb68 c h : 1f1e cb e e03 004e..hf...f.>..N : b4 41bb aa55 cd13 720c 81fb TFSu..A..U..r : 55aa 7506 f7c e9dd 001e 83ec U.u...u : a00 b448 8a16 0e00 8bf4 161f cd13.h...h a0: 9f83 c418 9e58 1f72 e13b 060b 0075 dba3...x.r.;...u.. Ein wichtiger Indikator für einen NTFS-ootsektor ist der nicht-essentielle ASCII-String NTFS mit folgenden Leerzeichen an Offset 3 bis 10. An Offset 11 bis 12 folgt die Größe eines Sektors in ytes. Der Little-Endian-Wert der Sektorgröße in unserem eispiel ist der nicht überraschende Wert 0x0200 = 512. An Offset 13 folgt der Wert 08, d.h. ein Cluster besteht aus 8 Sektoren und die Clustergröße beträgt 4 i. Auf Seite 114 sowie in Abbildung 7.1 haben Sie gelernt, dass NTFS von dem ootsektor eine Sicherungskopie im letzten Sektor der zugehörigen Dateisystempartition außerhalb des NTFS-Dateisystems ablegt. ackup-opie des ootsektors ontrollaufgabe 7.1: Hexdump eines NTFS-ootsektors Gegeben sei der Hexdump des NTFS-ootsektors aus eispiel 7.1. estimmen Sie die Adresse des ersten Clusters der MFT, die Größe eines MFT- Eintrags (in yte) sowie die Größe eines Index-Records (ebenfalls in yte). ontrollaufgabe 7.2: ackup-opie eines NTFS-ootsektors Gegeben sei der Hexdump des NTFS-ootsektors aus eispiel 7.1. Geben Sie an, in welchem Sektor der zugehörigen Dateisystempartition Sie nach der ackup-opie des ootsektors suchen.

8 Seite 120 E Exkurs 7.1: Dateisystemimage mounten In diesem Exkurs erklären wir, wie Sie ein Dateisystemimage in den Verzeichnisbaum ihrer forensischen Workstation unter Linux einbinden. Wir gehen auch auf einige Fallstricke ein. Das Image image-ntfs.dd enthält eine NTFS-Dateisystempartition. Wir binden die Partition unter Linux in das Verzeichnis /mnt ein, d.h. das Wurzelverzeichnis des NTFS-Dateisystems in image-ntfs.dd erscheint dann in unserem Verzeichnisbaum als /mnt. # mount -t ntfs-3g -o ro,loop,noexec,show_sys_files image-ntfs.dd /mnt Da wir Dateisystemdateien mit dem üblichen List-efehl sehen wollen, müssen wir die Option show_sys_files angeben. In unseren Tests wird dabei allerdings nicht die Datei $MFT angezeigt. Die Option loop dient dazu, eine Imagedatei als Loopgerät einzubinden, die Option ro erlaubt nur lesende Operationen (read-only) und die Option noexec unterbindet das direkte Ausführen von Programmen. Master File Table (MFT) 7.3 Metadaten in der MFT In diesem Abschnitt lernen Sie den Grundaufbau der Master File Table (MFT) und die in ihr gespeicherten Datenstrukturen kennen. Die MFT ist das Herzstück eines NTFS-Dateisystems, sie enthält für jedes Objekt des NTFS-Dateisystems also für jede Datei bzw. jedes Verzeichnis mindestens einen MFT-Eintrag, der die Metadaten dieses Objekts speichert oder auf sie verweist. Grundlegende Informationen zur MFT haben Sie bereits aus der einführenden eschreibung ab Seite 116 sowie aus Abbildung 7.2. Die MFT ist vergleichbar mit einer relationalen Datenbank, die aus MFT-Records (Reihen) und Attributen (Spalten) besteht. Jeder MFT-Record (oder auch MFT-Eintrag) hat die gleiche Länge, die in heutigen NTFS-Dateisystemen typischerweise 1 i beträgt. Die Nummerierung der MFT-Einträge ergibt die Metadatenadressierung des NTFS-Dateisystems, wobei die Adressierung bei 0 für die Datei $MFT beginnt. Die Adresse des Startclusters der MFT befindet sich im ootsektor, so dass die MFT sehr effizient gefunden wird. Abb. 7.3: Übersicht über einen MFT-Eintrag 0 MFT-Entry Header 42 F X V MFT-Entry ody Attribut 1, Attribut 2,... Attribut N E O C M MFT-Entry-Slack 1024 MFT - Master File Table FXV - Fixup Values EOCM - End of Content Marker (0xffffffff) Aufbau eines MFT-Eintrags Wir betrachten den Aufbau eines MFT-Eintrags. Dieser besteht aus zwei omponenten (siehe Abbildung 7.3), dem MFT-Entry-Header sowie dem MFT-Entry-ody (alternativ können Sie das Wort Entry durch Record oder Eintrag ersetzen). Der MFT-Entry-Header belegt die ersten 42 yte eines MFT-Eintrags (also Offset 0 bis 41), wir gehen gleich im Detail auf den MFT-Entry-Header ein. Der MFT-Entry- ody belegt die übrigen 982 yte des MFT-Eintrags, er enthält die eigentlichen Metadaten sowie die Fixup-Werte (siehe Seite 121). Die Metadaten werden in Attributen gekapselt, wir beschreiben die Attribute in Abschnitt 7.4. Typischerweise bleibt hinter dem letzten Attribut des MFT-Eintrags Speicherbereich frei, dieser heißt MFT-Entry-Slack.

9 7.3 Metadaten in der MFT Seite MFT-Entry Header F X V Attribut Header Attribut ody Attribut Header Attribut ody Attribut Header Attribut ody Attribut Header Attribut ody E O C M MFT-Entry-Slack Abb. 7.4: Detaillierte Darstellung eines MFT- Eintrag Signatur FILE/AAD Offset Fixup Array Länge Fixup Array Journal MFTE Seq.-Nr Seq.-Nr. Anzahl Links Offset erstes Attribut Genutzte Größe MFT-Entry MFT - Master File Table FXV - Fixup Values EOCM - End of Content Marker (0xffffffff) Der MFT-Entry-Header ist eine statische Datenstruktur der Länge 42 yte, in der sich Zeiger auf wichtige Datenstrukturen in diesem MFT-Eintrag, Informationen zum elegtstatus des MFT-Eintrags, eine (nicht-essentielle) Signatur sowie weitere Daten befinden. Die Spezifikation des MFT-Entry-Headers finden Sie in Tabelle 7.4, eine bildliche Darstellung finden Sie in Abbildung 7.4. Wir gehen im Folgenden auf die Felder des MFT-Entry-Headers ein. Ein MFT-Eintrag besitzt in den ersten vier yte einen festen ASCII-String als Signatur. In fast allen Fällen finden Sie dort den ASCII-String FILE. Sollte ein Diagnoseprogramm einen Fehler in dem MFT-Eintrag finden, so schreibt das Diagnoseprogramm den ASCII-String AAD in Offset 0 bis 3 des MFT-Eintrags. Die Signatur ist hilfreich, um eine MFT bei beschädigtem ootsektor bzw. in einer nicht mehr allozierten Partition zu finden. Dazu sucht man nach dem ASCII-String FILE am Anfang eines Sektors und filtert nach Treffern im Abstand 1024 yte. Es folgen an Offset 4 bis 7 Informationen zu dem Fixup Array dieses MFT-Eintrags. Fixup Values sind Ersetzungssymbole zur (vermeintlichen) Erhöhung der Zuverlässigkeit des Dateisystems. Die Idee ist, in die letzten beiden ytes jedes Sektors des MFT-Eintrags einen festen und bekannten Wert zu schreiben. Findet das Dateisystem diesen Fixup Value an Offset 510 jedes Sektors des MFT-Eintrags vor, hält es den MFT-Eintrag für intakt. Das ist analog zu der Magic Number 55aa an Offset 510 im Master oot Record bzw. eines ootsektors. Die ursprünglich an diesem Offset stehenden Werte werden in den Fixup Array geschrieben, dessen Länge an Offset 4 bis 5 im MFT-Eintrag steht. Die Anzahl der Einträge im Fixup Array eines MFT-Eintrags ist drei, denn es gibt den Fixup Value sowie die zwei ursprünglichen Einträge (je einen pro Sektor). Der typische Wert für das Offset des Fixup Arrays in heutigen NTFS-Dateisystemen ist 48. Durch den Umstieg auf die 64-it-Adressierung legen heutige etriebssysteme Datenstrukturen an einem durch 8 teilbaren Offset ab, und 48 ist die kleinste durch 8 teilbare Zahl hinter dem MFT-Entry-Header. Daher verbleiben 6 ungenutzte yte zwischen MFT-Entry-Header und Fixup-Array (siehe Abbildung 7.4). In einem NTFS-Dateisystem, das von älteren Windows-etriebssystemen formatiert wurde, finden Sie hier oft den minimalen Wert 42. MFT-Entry-Header Signatur Fixup Array Lage des Fixup Arrays eispiel 7.2: MFT Entry Header: Signatur und Fixup Array In diesem eispiel liegt uns ein Image eines NTFS-Dateisystems vor. Die Imagedatei heißt image-ntfs.dd. Wir betrachten den Hexdump des MFT- Eintrags der MFT. $ icat image-ntfs.dd 0 xxd

10 Seite : c ea FILE0..." : a : : 0200 d78e : H f0: fefd d0 0200!.T!! : ffff ffff f0: : c FILE0...0#... Am Anfang des MFT-Eintrags sehen wir an Offset 0 bis 3 die Signatur FILE. Es folgt an Offset 4 bis 5 die Adresse, an der die Ersetzungstabelle (das Fixup- Array) beginnt. Der Hexdump ist 3000 und entspricht dem Wert 0x0030 = 48. An Offset 6 bis 7 steht die Anzahl der Ersetzungswerte (Fixup Values), diese Zahl ist wie üblich drei (der Hexdump ist 0300). An Offset 48 sehen wir zunächst den Fixup Value Das ist die Magic Number, die wir jeweils in den letzten beiden ytes der beiden Sektoren des MFT-Eintrags der MFT sehen (siehe Offset 0x1 f e (also 510) bzw. Offset 0x3 f e (also 1022)). An Offset 50 folgt der ursprüngliche Wert an Offset 510 (Hexdump d78e) bzw. an Offset 52 der ursprüngliche Wert an Offset 1022 (Hexdump 0000). An Offset 8 bis 15 steht der Zeiger auf den Eintrag im Dateisystemjournal, der Hexdump ist ea Ab Offset 1024 folgt der zweite MFT-Eintrag für die Datei $MFTMirr mit dem ASCII-String FILE. Dateiadresse Zeiger auf Datenstrukturen NTFS nutzt zur Adressierung eines Objekts im Dateisystem eine 64-it-Adresse. Diese enthält in den niederwertigen 48 it die Metadatenadresse (d.h. einfach die Adresse des MFT-Eintrags in der MFT) und an den höchstwertigen 16 it eine Sequenznummer, um das aktuell vom MFT-Eintrag referenzierte Objekt zu kennzeichnen. Die Sequenznummer steht an Offset 16 bis 17 des MFT-Entry-Headers, sie soll die Unterscheidung von Objekten ermöglichen, die zeitlich nacheinander denselben MFT-Eintrag nutzen. Somit entsteht für jedes Objekt, das es im Dateisystem gibt bzw. gab, eine eindeutige Identifikationsnummer. Wir nennen die 64-it-Adresse die Dateiadresse, auch wenn es sich bei dem Objekt um ein Verzeichnis handelt. Je nach Implementierung des Dateisystems startet die Sequenznummer bei 0 oder einem höheren Wert und erhöht sich bei elegung oder Freigabe des MFT-Eintrags. itte beachten Sie, dass im MFT-Eintrag nur die Sequenznummer, nicht aber die Metadatenadresse gespeichert wird. ei Angabe der vollen Dateiadresse im Dateisystem wird der gesamte 64-it-Wert als Little-Endian-Wert kodiert. Eine zentrale Information im MFT-Entry-Header ist der Zeiger auf das erste Attribut. In Abbildung 7.4 sehen Sie, dass das Dateisystem diese Adresse benötigt, um das erste Attribut sowie die übrigen Attribute des MFT-Eintrags zu finden. Die übrigen Attribute werden dann über eine verkettete Liste adressiert, wobei jedes Attribut auf die Adresse des folgenden Attributs verweist. Die Adresse des ersten Attributs steht als 16-it-Zeiger an Offset 20 bis 21 des MFT-Entry-Headers. Weiterhin enthält der MFT-Entry-Header ab Offset 24 einen 32-it-Wert der genutzten Größe des MFT-Eintrags vor dem Hintergrund, dass die Größe eines

11 7.3 Metadaten in der MFT Seite 123 Adresse (dez.) Adresse (hex.) eschreibung ASCII-String FILE (typischerweise) oder AAD (bei Fehlern eines Diagnoseprogramms) als Signatur Offset zum Fixup-Array (Ersetzungstabelle, siehe Seite 121), relativ zum eginn dieses MFT-Eintrags Anzahl der Einträge im Fixup-Array F Sequenznummer des referenzierten Objekts im Metadatenjournal $LogFile Sequenzwert der Generation dieses MFT-Eintrags (zusammen mit der Metadatenadresse ergibt das die File Reference Number dieses Objekts) Anzahl der Links (d.h. Namen für das referenzierte Objekt) Offset zum ersten Attribut dieses MFT-Eintrags, relativ zum eginn dieses MFT-Eintrags Flags des Objekts (itmaske für genutzte MFT- Einträge: 0x01 = alloziert, 0x02 = Objekt ist ein Verzeichnis) Genutzte Größe des MFT-Eintrags in yte C-1F Allozierte Größe des MFT-Eintrags in yte (typischerweise 1024 = 0x400) Referenz auf MFT-asiseintrag (nur relevant, falls für ein Objekt des Dateisystems mehrere MFT-Einträge genutzt werden) Attribut-ID, die für nächstes Attribut genutzt werden soll 42-EOR 2A-EOR Fixup-Array und Attribute (EOR = End of Record, typischerweise bei Offset 1023), hinter letztem Attribut steht der End-of-Content-Marker ffff ffff Tabelle 7.4: Datenstrukturen eines MFT Entry Headers MFT-Eintrags zur Zeit höchstens 1024 beträgt, ist das sehr komfortabel festgelegt. Mit diesem Größenwert finden Sie den MFT-Entry-Slack-ereich, der noch Einträge von älteren Objekten enthalten kann. Schließlich gibt ein 32-it-Wert ab Offset 28 die allozierte Größe des MFT-Eintrags an, dieser Wert sollte heute stets 1024 betragen. Es gibt noch weitere Datenfelder im MFT-Entry-Header, die wir kurz beschreiben. An Offset 18 bis 19 steht die Anzahl der Links auf das Objekt, das durch den MFT-Eintrag referenziert wird. An Hand von Offset 22 bis 23 erkennen wir, ob der Eintrag alloziert ist (Wert ungleich Null). Ist der Wert 01, so handelt es sich um eine reguläre Datei, ist der Wert 03, so handelt es um ein alloziertes Verzeichnis (das ergibt sich aus der itmaske, denn es sind die its für alloziert und Verzeichnis gesetzt). Ab Offset 32 steht die Dateiadresse des zugehörigen asiseintrags, sofern das Objekt mehrere MFT-Einträge benötigt und der vorliegende MFT-Eintrag kein asiseintrag ist. Ab Offset 40 steht die nächste zu verwendende Attribut-ID (diese wird hochgezählt, um Attribute unterscheiden zu können, siehe Abschnitt 7.4). Weitere Informationen im MFT-Entry-Header eispiel 7.3: MFT Entry Header: Zeiger auf Datenstrukturen In diesem eispiel nutzen wir das Image des NTFS-Dateisystems aus eispiel 7.2 und betrachten wieder den MFT-Eintrag der MFT.

12 Seite 124 $ icat image-ntfs.dd 0 xxd : c ea FILE0..." : a : : 3101 f de8e ffff ffff a0: c00 a08f...1@ b0: b P...@... An Offset 20 bis 21 finden wir den Zeiger auf die Adresse des ersten Attributs in diesem MFT-Eintrag. Der Hexdump ist 3800 und entspricht dem Wert 0x38 = 56 (siehe auch Abbildung 7.4). Das ist der typische Wert in heutigen NTFS-Systemen, denn der Fixup Array beginnt typischerweise bei Offset 48 und belegt 6 yte. Daher ist 56 das kleinst mögliche, durch 8 teilbare Offset. An Offset 24 bis 27 steht die genutzte Größe des MFT-Eintrags. Der Hexdump ist a und entspricht dem Wert 0x1a0 = 416 (siehe auch Abbildung 7.4). Davor steht ab Offset 408 der End-of-Content-Marker ffff ffff. Sie sehen, dass der MFT-Entry-Slack ab Offset 416 Datenstrukturen enthält, die einer weiteren Analyse bedürfen. Die allozierte Größe des MFT- Eintrags ist an Offset 28 und 31 gespeichert (Hexdump ist ), sie beträgt wie erwartet 0x400 = Der Sequenzwert der aktuellen MFT steht an Offset 16 bis 17, der Wert ist 0x01 = 1. Die Dateiadresse der MFT lautet daher aktuell 0x Die Anzahl der Links beträgt Eins (Offset 18 bis 19), die Datei ist alloziert für eine reguläre Datei (Offset 22 bis 23) und die nächste Attribut-ID ist 6 (Offset 40 bis 41). Wir erwarten daher, dass es ein Attribut mit Attribut-ID 5 gibt. ontrollaufgabe 7.3: Dateiadresse Gegeben sei die Datei, die durch MFT-Eintrag referenziert wird. Die Datei ist die zweite Datei, die diesen Eintrag nutzt. itte geben Sie den Hexdump der Dateiadresse der jetzigen und der vorherigen Datei an. ontrollaufgabe 7.4: Dateiadressen der Dateisystemdateien estimmen Sie für ein NTFS-Dateisystem Ihrer Wahl die Dateiadressen der ersten 16 MFT-Einträge. Was fällt Ihnen auf? Haben Sie eine Erklärung dafür? ontrollaufgabe 7.5: Fixup Array Erläutern Sie kurz das Ziel des Fixup Arrays. Der Fixup Array eines MFT- Eintrags sei abcd ef Welchen ytestring finden Sie an Offset 1022 bis 1023 dieses MFT-Eintrags?

13 7.4 Metadaten in Attributen Seite 125 ontrollaufgabe 7.6: Auffinden der MFT Sie erhalten eine alte Festplatte, auf der früher Windows installiert war. Der MR zeigt kein Partitionsschema an. Wie können Sie die MFT finden, sofern eine Partition mittels NTFS formatiert ist bzw. war? Wie finden Sie noch den zugehörigen ootsektor? 7.4 Metadaten in Attributen Attribute belegen den größten Teil des MFT-odies (siehe Abbildung 7.4). Sie kapseln Informationen zu einem Objekt des Dateisystems. Solche Informationen sind zum eispiel Metadaten, aber auch die eigentlichen Inhaltsdaten des Objekts oder Verschlüsselungsschlüssel bei einer verschlüsselten Datei. Wichtige Standardattribute mit kurzer eschreibung von NTFS finden Sie in Tabelle 7.5. Attribut-ezeichner Attribute Type Identifier eschreibung $STANDARD_INFORMATION 16 relevante Zeitstempel, Inhaber, Zugriffsrechte, Flags $ATTRIUTE_LIST 32 wird in einem asis-mft-eintrag benötigt, um auf Attribute in den übrigen MFT-Einträgen des Objekts zu verweisen $FILE_NAME 48 Dateiname, Dateigröße, Elternverzeichnis, irrelevante Zeitstempel $DATA 128 Inhaltsdaten $INDEX_ROOT 144 Wurzelknoten eines Indexes, der als aumstruktur kodiert ist (z.. ein Verzeichnis) $INDEX_ALLOCATION 160 indknoten eines Indexes, der als aumstruktur kodiert ist $ITMAP 176 itmap zur Speicherung des elegtstatus von Einträgen des Objekts (z.. MFT-Einträge der MFT oder Verzeichniseinträge in einem Verzeichnis) $LOGGED_UTILITY_STREAM 256 Verschlüsselungsschlüssel bei Nutzung des Encrypting File System (EFS) oder Transaktionsdaten bei Nutzung des Transactional NTFS (TxF) Attribute bestehen aus einem Attribut-Header, der Metainformationen zum Attribut enthält, sowie dem Attribut-ody, der den gekapselten Attributinhalt speichert (siehe Abbildung 7.4). Eine wichtige Information im Attribut-Header ist die Angabe des Attribut-Typs, also welchen Inhalt das Attribut enthält. Der Attribut-Typ wird über den Attribute Type Identifier (ATI) kodiert. In Tabelle 7.5 sehen Sie, dass beispielsweise das $STANDARD_INFORMATION-Attribut den ATI 16 besitzt. Der Attribut- ezeichner selbst wird im Dateisystem nicht vorgehalten. Attribut-ezeichner beginnen wie Dateisystemdateien mit einem Dollarzeichen, im Unterschied zu den Dateisystemdateien werden aber nur Großbuchstaben verwendet. NTFS unterscheidet residente und nicht-residente Attribute. Residente Attribute speichern im Attribut-ody die Nutzdaten des Attributs und damit auch direkt im apselung von Informationen Tabelle 7.5: Standardattribute in NTFS Attribut-Header, Attribut- ody Resident, nicht-resident

14 Seite 126 Abb. 7.5: eispiel eines MFT Eintrags inkl. Attribute MFT Entry Header Signature: FILE Attribute Offset: 56 0 $FILE_NAME (48) Resident Attribute Length: 104 Content Length: 74 $ITMAP (176) Non-resident Attribute Length: 80 Content Length: 4104 Cluster Run 1: 8532 Cluster Run 2: $STANDARD_ INFORMATION (16) Resident Attribute Length: 96 Content Length: 72 $DATA (128) Non-resident Attribute Length: 72 Content Length: Cluster Run: 8533 MFT-Eintrag. Da der MFT-Eintrag eine Größe von 1 i hat, besitzt ein residentes Attribut kleine Nutzdaten (z yte). Nicht-residente Attribute speichern im Attribut-ody nur den Verweis auf die Cluster, in denen die Nutzdaten des Attributs liegen. Diese Clusteradressen werden in Cluster Runs angegeben. Ein Cluster Run beschreibt hierbei eine Sequenz von aufeinanderfolgenden Clustern der Nutzdaten und enthält die Adresse des ersten Datenclusters sowie die Länge des Runs. eispiel 7.4: Attribute der $MFT Wir betrachten den gleichen MFT-Eintrag wie in eispiel 7.3. Mit Hilfe des Tools istat aus dem Sleuthkit können wir uns einen Überblick über die Attribute der Datei in der Sektion Attributes der Ausgabe von istat verschaffen. $ istat image-ntfs.dd 0 Attributes: Type: $STANDARD_INFORMATION (16-0) Name: N/A Resident size: 72 Type: $FILE_NAME (48-3) Name: N/A Resident size: 74 Type: $DATA (128-1) Name: N/A Non-Resident size: Type: $ITMAP (176-5) Name: N/A Non-Resident size: Die $MFT besitzt also vier Attribute, wovon je zwei resident bzw. nichtresident sind. Die Ausgabe zu den einzelnen Attributen erläutern wir im Folgenden. Grundlegendes zum Attribut-Header In Abbildung 7.5 sehen Sie den MFT-Eintrag aus Abbildung 7.4 mit erweiterten Informationen. Für die vier Attribute sehen Sie jeweils den Attribut-ezeichner, den Attribute Type Identifier, die Angabe, ob das Attribut resident oder nicht-resident ist, und schließlich Längenangaben. Alle diese Informationen stehen im Attribut- Header. Die Attribute $STANDARD_INFORMATION und $FILE_NAME müssen resident sein, ihre Länge ist jeweils ca. 100 yte (die Länge von $FILE_NAME ist variabel und abhängig von der Länge des Dateinamens). itte sehen Sie sich auch diese

15 7.4 Metadaten in Attributen Seite 127 Angaben in eispiel 7.4 an. Das $DATA-Attribut ist ab einer Größe der Inhaltsdaten von ca. 700 yte nicht-resident. In eispiel 7.4 sehen Sie, dass die Inhaltsdaten der MFT mit yte zu groß für eine Speicherung innerhalb des MFT-Eintrags sind, so dass das $DATA-Attribut nicht-resident ist. Sie können Abbildung 7.5 auch die Verkettung der Attribute entnehmen (z.. ergibt sich die Lage des $FILE_NAME- Attributs aus der Länge und Lage des $STANDARD_INFORMATION-Attributs). Und Sie können einfach die Offsets der Attribute nachvollziehen. Adresse (dez.) Adresse (hex.) eschreibung Attribute Type Identifier (ATI), siehe Tabelle Attributlänge (relativ zum eginn des Attributs) Flag für resident (0x00) bzw. non-resident (0x01) Länge des Attributnamens A- Offset zu Attributnamen C-D Flags: 0x0001 = komprimiert, 0x4000 = verschlüsselt, 0x8000 = sparse E-F Attribute Identifier Größe des Attributinhalts Offset des Attributinhalts relativ zu eginn des Attributs Die Spezifikation des Attribut-Headers für ein residentes Attribut finden Sie in Tabelle 7.6. Auf nicht-residente Attribute gehen wir im Detail in Abschnitt?? am eispiel des $DATA-Attributs ein. Am Anfang des Attribut-Headers steht an Offset 0 bis 3 der 32-it lange Attribute Type Identifier (ATI), der den Typ des Attributs festlegt. Viele IT-forensische Programme geben neben dem ATI auch den Attribut-ezeichner an. itte denken Sie daran, dass nur der ATI, nicht aber der Attribut-ezeichner im Dateisystem hinterlegt ist. Anschließend folgt an Offset 4 bis 7 des Attribut-Headers die Attributlänge. Die Attributlänge ist relativ zum Anfang des Attributs angegeben und gibt an, wo das Attribut endet und damit das nächste Attribut beginnt, sofern das aktuelle Attribut nicht das letzte Attribut im MFT-Eintrag ist. Mit Hilfe dieses Zeigers erhalten wir die verkettete Liste, die die Lage aller Attribute in dem MFT-Eintrag bestimmt. In Abbildung 7.5 sehen Sie, dass das $STANDARD_INFORMATION-Attribut die Länge 96 yte besitzt. Da das $STANDARD_INFORMATION-Attribut an Offset 56 beginnt, folgt an Offset 152 = das nächste Attribut. In eispiel 7.4 sehen Sie nicht die Attributlänge, sondern die Länge des Inhalts (dazu gleich mehr). Anschließend folgt an Offset 8 das non-resident Flag, für das es nur zwei Werte gibt: der Wert 0x00 kodiert ein residentes Attribut, der Wert 0x01 ein nicht-residentes Attribut (weil dann der Wert true für das non-resident Flag genutzt wird). An Offset 9 bis 11 folgen Informationen zum Attributnamen, sofern das Attribut einen Namen nutzt. Der Attributname ist nicht der Attribut-ezeichner, vielmehr dient der Attributname dazu, zwei Attribute gleichen Typs zu unterscheiden, wenn diese unterschiedliche Aufgaben haben. In Abbildung 7.5 ist das zum eispiel nicht notwendig, weil es von jedem Attributtyp nur eine Instanz gibt. In eispiel 7.4 sehen Sie, dass N/A als Name angegeben wird, d.h. es gibt keinen (not available). Das $LOGGED_UTILITY_STREAM-Attribut, das wir auf Seite 129 erläutern, kann mehrere Aufgaben erfüllen. Es nutzt zum eispiel den Attributnamen $EFS, wenn das Attribut Verschlüsselungsschlüssel speichert. Damit ist sofort klar, welche Aufgabe das Attribut in diesem Fall erfüllt. Tabelle 7.6: Datenstrukturen eines Attribut- Headers für ein residentes Attribut Spezifikation eines residenten Attribut-Headers Attributlänge Non-resident Flag Attributname

16 Seite 128 Flags, Attribut-ID Zeiger auf Attributinhalt Weitere Details zu diesem Attribut geben die Flags an Offset 12 bis 13 an. Meist werden Sie hier den Wert 0 finden. Die Attribut-ID (abgekürzt für Attribute-Identifier) hat die gleiche Aufgabe wie der Attributname, nämlich die Unterscheidung von Attributen gleichen Typs der gleichen Datei. Die Attribut-ID soll sogar eindeutig für die Datei sein. In eispiel 7.4 hat das $STANDARD_INFORMATION-Attribut die Attribut-ID 0. Das Sleuthkit gibt nach dem ATI immer auch die Attribut-ID aus, für das $STANDARD_INFORMATION-Attribut daher Sie sehen in eispiel 7.4 auch, dass jedes Attribut eine unterschiedliche Attribut-ID hat und dass der größte Wert 5 ist (für das $ITMAP-Attribut). Daher steht im MFT-Entry-Header an Offset 40 bis 41 der Wert 6 für den nächsten zu nutzenden Wert der Attribut-ID (siehe eispiel 7.3). Abschließend gibt es noch an Offset 16 bis 19 die Länge des Attributinhalts sowie an Offset 20 bis 21 die Lage des Attributinhalts relativ zum eginn des Attributs. Die Länge des Attributinhalts gibt das Sleuthkit für jedes Attribut an (siehe eispiel 7.4). In eispiel 7.5 sehen wir uns den Attribut-Header eines $STANDARD_INFORMATION- Attributs an. eispiel 7.5: Attribut-Header eines residenten Attributs Wir betrachten den gleichen MFT-Eintrag wie in eispiel 7.3. Wir wissen, dass das erste Attribut an Offset 56 des MFT-Eintrags beginnt. Diesen Hexdump schreiben wir uns mittels icat und dd heraus. $ icat image-ntfs.dd 0 dd bs=1 skip=56 xxd : : eed d101 H...i : 0082 eed d eed d101...i...i : 0082 eed d i : : : h... Am Anfang des Attibut-Headers sehen wir an Offset 0 bis 3 den Hexdump des Attribute Type Identifiers , der dem Little-Endian-Wert 0x10 = 16 entspricht, also dem $STANDARD_INFORMATION-Attribut. Die Länge des Attributs beträgt 0x60 = 96. Das folgende Attribut beginnt also bei Offset 0x60 = 96 relativ zum eginn des $STANDARD_INFORMATION-Attributs und damit = 152 relativ zum eginn des MFT-Eintrags. Das sind die heute typischen Werte, Sie finden diese auch in Abbildung 7.6. Das folgende Attribut ist das $FILE_NAME-Attribut (Hexdump ab Offset 0x60). Das STANDARD_INFORMATION-Attribut ist wie üblich resident (an Offset 8 steht der Wert 00), der Attributname hat die Länge 00, das heißt, dieses STANDARD_INFORMATION-Attribut hat keinen Namen (auch wenn an Offset 10 bis 11 der Wert 0x18 = 24 für die Länge des Attributnamens angegeben wird). Der Inhalt belegt 0x48 = 72 yte (siehe Offset 16 bis 19), der Inhalt beginnt ab Offset 0x18 = 24 relativ zum eginn des Attributs. Die Angaben zum Attributinhalt sind konsistent mit der Attributlänge, denn = 96.

17 7.4 Metadaten in Attributen Seite 129 ontrollaufgabe 7.7: Attribute Type Identifier Geben Sie den Hexdump der Attribute Type Identifier aller in Tabelle 7.5 angegebenen Attribute an. Was fällt Ihnen auf? Aus Tabelle 7.5 kennen Sie wichtige MFT-Attribute. Auf das $STANDARD_INFORMA- TION- sowie das $FILE_NAME-Attribut gehen wir gleich im Detail ein. Die beiden $INDEX-Attribute besprechen wir in Abschnitt??, weil diese im ontext von Verzeichnissen genutzt werden. Da das $DATA-Attribut zur Inhaltskategorie gehört, gehen wir auf das $DATA-Attribut in Abschnitt?? ein (im Vordergrund steht dann die Diskussion nicht-residenter Attribute). Das $LOGGED_UTILITY_STREAM-Attribut hat den Attribute Type Identifier 256. Es ist ähnlich zu dem $DATA-Attribut, allerdings werden die Änderungen im Änderungsjournal geloggt (daher der Name). Das Attribut wird für zwei unterschiedliche Zwecke in NTFS genutzt: Details zu Attributen $LOGGED_UTIL- ITY_STREAM Im Zusammenhang mit dem Encrypting File System (EFS) speichert das Attribut Verschlüsselungsschlüssel und Informationen zu den Inhabern der öffentlichen Schlüssel für die zugehörige Datei. Der Standardattributname für diesen Anwendungsfall ist $EFS. Wir gehen in Abschnitt?? auf das Schutzziel Vertraulichkeit in NTFS ein und besprechen dort EFS. Im Zusammenhang mit Transaktionen (z.. für Datenbanken) im ontext des Transactional NTFS (TxF) speichert das Attribut Informationen zur Transaktion. Der Standardattributname für diesen Anwendungsfall ist $TXF_DATA. Wir gehen auf Transactional NTFS nicht weiter ein. Das $ITMAP-Attribut hat den Attribute Type Identifier 176. Wie der Name des Attributs andeutet, hält das $ITMAP-Attribut die Information vor, welche Einträge des zugehörigen Objekts belegt sind und welche nicht. In NTFS finden Sie ein $ITMAP-Attribut in der MFT sowie in Verzeichnissen: $ITMAP Die MFT nutzt ihr $ITMAP-Attribut, um den Allokationsstatus der MFT- Einträge vorzuhalten. In eispiel 7.4 sehen Sie, dass das $ITMAP-Attribut der MFT nicht-resident ist und 4104 yte belegt. Damit führt das Attribut uch über = MFT-Einträge. Neben der MFT nutzen auch Verzeichnisse ihr $ITMAP-Attribut, um den elegtstatus ihrer Index-Records effizient zu speichern (siehe Abschnitt??). ontrollaufgabe 7.8: Dateisystemdatei $AttrDef Sehen Sie sich den Hexdump der Inhaltsdaten der Dateisystemdatei $AttrDef an. Geben Sie nur an Hand dieses Hexdumps Hypothesen an, welche Informationen in $AttrDef gespeichert werden und wie die Spezifikation der Datenstrukturen aussieht. $STANDARD_INFORMATION Das $STANDARD_INFORMATION-Attribut ist ein residentes Attribut mit dem Attribute Type Identifier (ATI) 16. Weil dies der kleinste ATI ist und NTFS die Attribute nach den ATIs sortiert, steht das $STANDARD_INFORMATION-Attribut als erstes Attribut in einem MFT-Eintrag. Es enthält Angaben zu esitzer, vier Zeitstempel, Sicherheitseigenschaften des Objekts sowie Flags (hidden, system,...). Die Zeitstempel im Grundlegendes

Computerforensik. Wintersemester 2010/2011

Computerforensik. Wintersemester 2010/2011 Computerforensik Wintersemester 2010/2011 Harald Baier Kapitel 7: Analyse eines NTFS-Dateisystems Inhalt Allgemeines zu NTFS Attribute File System Metadata Files Harald Baier Computerforensik h_da WS 2010/2011

Mehr

Inhalt. Allgemeines zu Dateisystemen. Linux-Dateisysteme am Beispiel von ext2/ext3. Microsoft-Dateisysteme FAT NTFS

Inhalt. Allgemeines zu Dateisystemen. Linux-Dateisysteme am Beispiel von ext2/ext3. Microsoft-Dateisysteme FAT NTFS Inhalt Allgemeines zu Dateisystemen Linux-Dateisysteme am Beispiel von ext2/ext3 Microsoft-Dateisysteme FAT NTFS Harald Baier Computerforensik h_da WS 2009/2010 101 Grundlegendes zu NTFS (1/2) NTFS = New

Mehr

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Digitale Forensik Schulung Bundespolizeiakademie März 2009 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 15+17: NTFS und SRP-Analyse Dipl.-Inform. Markus Engelberth Dipl.-Inform. Christian Gorecki Universität Mannheim Lehrstuhl für Praktische

Mehr

6.2 FAT32 Dateisystem

6.2 FAT32 Dateisystem 6.2 FAT32 Dateisystem Dateisystem für Windows 98 einige Unterschiede zum Linux-Dateisystem EXT2: keine Benutzeridentifikation für Dateien und Verzeichnisse! Partitionen werden durch Laufwerke repräsentiert,

Mehr

Computerforensik. Wintersemester 2011/2012

Computerforensik. Wintersemester 2011/2012 Computerforensik Wintersemester 2011/2012 Harald Baier Kapitel 5: Analyse von FAT-Dateisystemen Inhalt Layout eines FAT-Dateisystems Metadaten eines FAT-Dateisystems Verzeichnisse im FAT-Dateisystem Abschlussbemerkungen

Mehr

Jeder Datenträger besitzt einen I-Node-Array. Jede Datei auf dem Datenträger hat einen I-Node-Eintrag.

Jeder Datenträger besitzt einen I-Node-Array. Jede Datei auf dem Datenträger hat einen I-Node-Eintrag. Einführung in die Betriebssysteme Fallstudien zu Dateisystemen Seite 1 Unix-Dateisystem Der Adreßraum einer Datei wird in gleichlange Blöcke aufgeteilt. Ein Block hat die Länge von 1 oder mehreren Sektoren

Mehr

Betriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen

Betriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen Betriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen 1 Files als lineare Liste File angeordnet als verkette Liste von Blöcken Jeder Block enthält Zeiger zum Nachfolger Zeiger = Adresse des Blocks

Mehr

Dateisystem: Einführung

Dateisystem: Einführung Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redundanz beim speichern! Zusätzlich müssen Unterverzeichnisse

Mehr

Einführung in Dateisysteme

Einführung in Dateisysteme Proseminar Speicher- und Dateisysteme Agenda 1. Allgemeines 2. Grundlagen/ Konzeption eines Dateisystems 3. Strukturelle Konzepte von Dateisystemen/ Beispiele 4. Sicherheitsaspekte 5. Ausblick Seite 2

Mehr

Digital Forensics. Slackspace. 2011 DI Robert Jankovics DI Martin Mulazzani

Digital Forensics. Slackspace. 2011 DI Robert Jankovics DI Martin Mulazzani Digital Forensics Slackspace Slackspace Übersicht: Slack allgemein NTFS Slack FAT Slack mit Steganographie Slack allgemein Slack Space: Bezeichnet den Speicherplatz zwischen Ende der Datei und Ende des

Mehr

Master-Boot-Record sichern

Master-Boot-Record sichern Master-Boot-Record sichern Allgemeines Mit dem Master-Boot-Record (MBR) kommt der normale Computernutzer nur selten in Kontakt, eigentlich nur zweimal. Bei der Installation von Linux wird in der Regel

Mehr

Dateisystem: Einführung

Dateisystem: Einführung Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redunanz beim speichern! Zusätzlich müssen Unterverzeichnisse

Mehr

Dateisystem: Einführung

Dateisystem: Einführung Dateisystem: Einführung Hauptaufgabe des Dateisystems ist der schnelle und zuverlässige Zugriff auf Dateien Problem: Entweder schneller Zugriff oder viel Redunanz beim speichern! Zusätzlich müssen Unterverzeichnisse

Mehr

Das NTFS von WINDOWS NT (1)

Das NTFS von WINDOWS NT (1) FG TECHNISCHE INFORMATIK V BS 351 00 TH 06 Das NTFS von WINDOWS NT (1) NTFS New Technology File System Dateisystem von Windows NT, Windows 2000, Windows XP und Windows Vista Allgemeines Hierarchisches

Mehr

Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1

Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1 Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1 E 3 EXT2 Dateisystem Lernziele Aufbau des ext2-dateisystems kennenlernen Verwaltungsstrukturen auf dem Datenträger analysieren Hard- und Softlinks Übungsumgebung

Mehr

Betriebssysteme Teil 16: Dateisysteme (Beispiele)

Betriebssysteme Teil 16: Dateisysteme (Beispiele) Betriebssysteme Teil 16: Dateisysteme (Beispiele) 21.01.16 1 Übersicht UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Die in diesem Teil vorgestellten Informationen stellen

Mehr

Übersicht. UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32

Übersicht. UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Übersicht UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Die in diesem Teil vorgestellten Informationen stellen lediglich das Prinzip dar - im Detail ist alles etwas komplizierter...

Mehr

altec ComputerSysteme Entwicklungsdokumentation Image-Dateien Datum: Oktober 12, 2010 Autor: René Bellmer altec ComputerSysteme GmbH

altec ComputerSysteme Entwicklungsdokumentation Image-Dateien Datum: Oktober 12, 2010 Autor: René Bellmer altec ComputerSysteme GmbH altec ComputerSysteme Entwicklungsdokumentation Image-Dateien Datum: Oktober 12, 2010 Autor: René Bellmer altec ComputerSysteme GmbH http://www.altec-cs.de Image-Dateien 2 Inhaltsverzeichnis 1. Einleitung...3

Mehr

Übersicht. Festplattenanalyse. Dateisystemanalyse. Tools. Festplatten und Partitionen NTFS

Übersicht. Festplattenanalyse. Dateisystemanalyse. Tools. Festplatten und Partitionen NTFS Übersicht Festplattenanalyse Festplatten und Partitionen Dateisystemanalyse NTFS Tools Digitale Forensik, Schulung Bundespolizeiakademie, Juli 2007 Seite 42 NTFS New Technologies File System Standarddateisystem

Mehr

Halt! Wo bin ich überhaupt?... C:\

Halt! Wo bin ich überhaupt?... C:\ Halt! Wo bin ich überhaupt?... C:\ FAT32 und Co Dateisysteme Datenträger FAT Forensik Bootreihenfolge Einschalten BIOS -> Power-On Self Test (POST) BIOS -> Master Boot Record (MBR) Bootsektor Betriebssystem

Mehr

10. Datenbank Design 1

10. Datenbank Design 1 1 Die Hauptaufgabe einer Datenbank besteht darin, Daten so lange zu speichern bis diese explizit überschrieben oder gelöscht werden. Also auch über das Ende (ev. sogar der Lebenszeit) einer Applikation

Mehr

Systeme 1. Kapitel 3 Dateisysteme WS 2009/10 1

Systeme 1. Kapitel 3 Dateisysteme WS 2009/10 1 Systeme 1 Kapitel 3 Dateisysteme WS 2009/10 1 Letzte Vorlesung Dateisysteme Hauptaufgaben Persistente Dateisysteme (FAT, NTFS, ext3, ext4) Dateien Kleinste logische Einheit eines Dateisystems Dateitypen

Mehr

Olga Perevalova Universität Hamburg 18-06-2015

Olga Perevalova Universität Hamburg 18-06-2015 Themeneinführung ext FAT NTFS ReFS HFS Fazit Lokale Dateisysteme Olga Perevalova Universität Hamburg 18-06-2015 1/22 Themeneinführung ext FAT NTFS ReFS HFS Fazit Themeneinführung Extended File System (ext/

Mehr

Partitionieren und Formatieren

Partitionieren und Formatieren Partitionieren und Formatieren Auf eine Festplatte werden Partitionen angelegt, damit Daten an verschiedenen (relativ) unabhängigen Orten gespeichert werden können oder dass mehrere unabhängige Betriebssysteme

Mehr

BACKUP Datensicherung unter Linux

BACKUP Datensicherung unter Linux BACKUP Datensicherung unter Linux Von Anwendern Für Anwender: Datensicherung in Theorie und Praxis! Teil 4: Datenrettung Eine Vortragsreihe der Linux User Group Ingolstadt e.v. (LUG IN) in 4 Teilen Die

Mehr

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1 Wie wird auf Festplatten zugegriffen? Es gibt nur einen Verzeichnisbaum, siehe Verzeichnisse Es gibt

Mehr

5.2 Analyse des File Slack

5.2 Analyse des File Slack 5.2 Analyse des File Slack 109 Es gibt an vielen Stellen eines Betriebssystems Fundorte für Gebrauchsspuren oder Hinweise auf Auffälligkeiten. Diese Stellen sollten grundsätzlich aufgesucht und analysiert

Mehr

Was ist ein Dateisystem? Wozu dient es? Lokale Dateisysteme. Speichergrößen. Inhalt der Präsentation

Was ist ein Dateisystem? Wozu dient es? Lokale Dateisysteme. Speichergrößen. Inhalt der Präsentation Was ist ein Dateisystem? Wozu dient es? Lokale Dateisysteme Christine Arndt 9arndt@informatik.uni-hamburg.de Universität Hamburg - Studentin der Wirtschaftsinformatik 11. März 2011 Schicht zwischen Betriebssystem

Mehr

Studienbrief 5 Dateisystemforensik Seite 71

Studienbrief 5 Dateisystemforensik Seite 71 Seite 71 5.1 Einführung Die grundlegende Aufgabe eines Dateisystems ist die (hierarchische) Verwaltung und Organisation von Daten, damit ein Zugriff auf die Daten effizient durchgeführt werden kann. Die

Mehr

Implementierung von Dateisystemen

Implementierung von Dateisystemen Implementierung von Dateisystemen Teil 2 Prof. Dr. Margarita Esponda WS 2011/2012 44 Effizienz und Leistungssteigerung Festplatten sind eine wichtige Komponente in jedem Rechnersystem und gleichzeitig

Mehr

Was machen wir heute? Betriebssysteme Tutorium 10. Frage 10.1.a. Frage 10.1.a

Was machen wir heute? Betriebssysteme Tutorium 10. Frage 10.1.a. Frage 10.1.a Was machen wir heute? Betriebssysteme Tutorium 10 Philipp Kirchhofer philipp.kirchhofer@student.kit.edu http://www.stud.uni-karlsruhe.de/~uxbtt/ Lehrstuhl Systemarchitektur Universität Karlsruhe (TH) 1

Mehr

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT Andreas Dewald, Laboratory for Dependable Distributed Systems, University of Mannheim Forensik-Tools Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung Vorlesung Forensische Informatik

Mehr

Einführung in Dateisysteme

Einführung in Dateisysteme Einführung in Dateisysteme Proseminar Speicher- und Dateisysteme Malte Hamann Sommersemester 2012 15.06.2012 Einführung Dateisysteme - Malte Hamann 1/29 Gliederung 1. Einführung 2. Grundlegendes Konzept

Mehr

Computer Forensik: Prüfungsleistung

Computer Forensik: Prüfungsleistung Deutsche Uni - Fachbereich Informatik - Computer Forensik: Prüfungsleistung Forensischer Bericht, Aktenzeichen: 2011/01/#6 17. Februar 2012 Prüing, 00000000 Inhaltsverzeichnis 1 Prolog 3 1.1 Auftrag.....................................

Mehr

SYNerity Analyse von Unix-Rechnern

SYNerity Analyse von Unix-Rechnern Analyse von Unix-Rechnern 1 Unix, aha!... Welches genau? Linux BSD Solaris HP-UX True64 AIX Unix-Analyse Online 2 Willkommen in Babylon Jeder Unix-Dialekt hat andere Befehle bzw. eigene Switches Dokumentation

Mehr

Technische Beschreibung: EPOD Server

Technische Beschreibung: EPOD Server EPOD Encrypted Private Online Disc Technische Beschreibung: EPOD Server Fördergeber Förderprogramm Fördernehmer Projektleitung Projekt Metadaten Internet Foundation Austria netidee JKU Linz Institut für

Mehr

19. Mai 2004 Gewerbeschule Bad Säckingen Manuel Schneider

19. Mai 2004 Gewerbeschule Bad Säckingen Manuel Schneider Partitionen und Dateisysteme Sinnvolle Partitionierung Linux Boot-Partition (ext2) Swap-Partition (swap) Root-Partition (reiserfs) Windows (ntfs) Partitionierung mit fdisk (Linux) :[~]#> fdisk /dev/hda

Mehr

Andere in diesem Whitepaper erwähnte Marken- und Produktnamen sind Warenzeichen der jeweiligen Rechtsinhaber und werden hiermit anerkannt.

Andere in diesem Whitepaper erwähnte Marken- und Produktnamen sind Warenzeichen der jeweiligen Rechtsinhaber und werden hiermit anerkannt. Copyright Copyright Aagon Consulting GmbH Alle Rechte vorbehalten. Dieses Whitepaper ist urheberrechtlich geschützt. Kein Teil dieser Publikation darf in irgendeiner Form ohne ausdrückliche schriftliche

Mehr

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen. HACK #39 Hack Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.»verschlüsseln Sie Ihren Temp-Ordner«[Hack #33] hat Ihnen gezeigt, wie Sie Ihre Dateien mithilfe

Mehr

Spezifikationen für die Datenträgerlöschung mit GDisk

Spezifikationen für die Datenträgerlöschung mit GDisk Spezifikationen für die Datenträgerlöschung mit GDisk Dieses Kapitel behandelt die folgenden Themen: Informationen zu diesem Dokument Informationen zu den Spezifikationen für die Datenträgerlöschung mit

Mehr

TrueCrypt. Installation

TrueCrypt. Installation 1 / 9 TrueCrypt TrueCrypt Installation Gehen Sie auf die Webseite http://www.truecrypt.org/downloads und laden Sie sich dort unter Latest Stable Version für Windows oder für Mac Ihre Programmversion herunter.

Mehr

Modbus/TCP. Protokoll

Modbus/TCP. Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Pro tokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll Protokoll

Mehr

B-Bäume, Hashtabellen, Cloning/Shadowing, Copy-on-Write

B-Bäume, Hashtabellen, Cloning/Shadowing, Copy-on-Write B-Bäume, Hashtabellen, Cloning/Shadowing, Copy-on-Write Thomas Maier Proseminar: Ein- / Ausgabe Stand der Wissenschaft Seite 1 von 13 Gliederung 1. Hashtabelle 3 2.B-Baum 3 2.1 Begriffserklärung 3 2.2

Mehr

Bedeutung der Metadateien. Alle Metadaten werden in Dateien gehalten. NTFS ist ein Journal-File-System

Bedeutung der Metadateien. Alle Metadaten werden in Dateien gehalten. NTFS ist ein Journal-File-System 6 Beispiel: Windows NT (NTFS) 6.3 Metadaten 6 Beispiel: Windows NT (NTFS) 6.3 Metadaten 6.3 Metadaten 6.3 Metadaten (2) Alle Metadaten werden in Dateien gehalten Indexnummer 0 1 2 3 4 5 6 7 8 16 17 MFT

Mehr

Computerforensik. Wintersemester 2009/2010

Computerforensik. Wintersemester 2009/2010 Wintersemester 2009/2010 Kapitel 3: Dateisystemanalyse Inhalt Allgemeines zu Dateisystemen Linux-Dateisysteme am Beispiel von ext2/ext3 Microsoft-Dateisysteme FAT NTFS 2 Inhalt Allgemeines zu Dateisystemen

Mehr

Wiederholung: Realisierung von Dateien

Wiederholung: Realisierung von Dateien Wiederholung: Realisierung von Dateien Zusammenhängende Belegung Datei A Datei C Datei E Datei G Datei B Datei D Datei F Belegung durch verkettete Listen (z.b. FAT) Dateiblock 0 Dateiblock 1 Dateiblock

Mehr

Grundlagen der Informatik. Prof. Dr. Stefan Enderle NTA Isny

Grundlagen der Informatik. Prof. Dr. Stefan Enderle NTA Isny Grundlagen der Informatik Prof. Dr. Stefan Enderle NTA Isny 2 Datenstrukturen 2.1 Einführung Syntax: Definition einer formalen Grammatik, um Regeln einer formalen Sprache (Programmiersprache) festzulegen.

Mehr

Security Lektion 4 Zugriffskontrollen

Security Lektion 4 Zugriffskontrollen Security Lektion 4 Zugriffskontrollen Zugriffskontrollen Passwort Komprimierte Dateien schützen Dateien und / oder Festplatten verschlüsseln Biometrische Zugangskontrollen Sie haben in der vergangenen

Mehr

Speicherung einer. Kurznachricht auf der SIM-Karte. Gliederung. Einführung. Auswertung anhand eines Beispiels. Überlange Kurznachrichten

Speicherung einer. Kurznachricht auf der SIM-Karte. Gliederung. Einführung. Auswertung anhand eines Beispiels. Überlange Kurznachrichten Speicherung einer Martin Jung, David Kolb, Benno Müller Kurznachricht auf der SIM-Karte Ace Crngarov Gliederung Einführung Dateisystem Chipkarte Speicherort Kurznachrichten Programm zum Auslesen Auswertung

Mehr

LuksCrypt Grundlagen. Festplatte und USB-Stick verschlüsseln unter GNU/Linux. 2015 etc

LuksCrypt Grundlagen. Festplatte und USB-Stick verschlüsseln unter GNU/Linux. 2015 etc LuksCrypt Grundlagen Festplatte und USB-Stick verschlüsseln unter GNU/Linux 2015 etc Motivation Daten auf mobilen Geräten (Laptop) vor fremden Zugriff sichern Probleme mit einer verschlüsselten Festplatte

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter Dr. Kaiser Systemhaus GmbH Köpenicker Straße 325 12555 Berlin Telefon: (0 30) 65 76 22 36 Telefax: (0 30) 65 76 22 38 E-Mail: info@dr-kaiser.de Internet: www.dr-kaiser.de Zielstellung: Installationshinweise

Mehr

15 Bilder und Dateien im SQL Server

15 Bilder und Dateien im SQL Server Leseprobe aus Access und SQL Server http://www.acciu.de/asqllesen 15 Bilder und Dateien im SQL Server Eines der großen Probleme von Access-Datenbanken ist der vergleichsweise geringe Speicher platz. Sicher,

Mehr

Datenwiederherstellung von Festplatten des DNS-323

Datenwiederherstellung von Festplatten des DNS-323 Datenwiederherstellung von Festplatten des DNS-323 Inhalt DNS-323 DATENWIEDERHERSTELLUNG MIT KNOPPIX 5.1.1...2 ALLGEMEINE INFORMATIONEN...2 VORGEHENSWEISE IN ALLER KÜRZE...3 AUSFÜHRLICHE VORGEHENSWEISE...3

Mehr

Informationen zu den regionalen Startseiten

Informationen zu den regionalen Startseiten Informationen zu den regionalen Startseiten Inhaltsverzeichnis Informationen zu den regionalen Startseiten 1 1. Grundlegende Regeln 2 1.1. Was wird angezeigt? 2 1.2. Generelle Anzeigeregeln 2 2. Anpassbare

Mehr

Repetitorium Informatik (Java)

Repetitorium Informatik (Java) Repetitorium Informatik (Java) Tag 6 Lehrstuhl für Informatik 2 (Programmiersysteme) Übersicht 1 Klassen und Objekte Objektorientierung Begrifflichkeiten Deklaration von Klassen Instanzmethoden/-variablen

Mehr

Die Sicht eines Sysadmins auf DB systeme

Die Sicht eines Sysadmins auf DB systeme Die Sicht eines Sysadmins auf DB systeme Robert Meyer 21. Oktober 2016 Robert Meyer Die Sicht eines Sysadmins auf DB systeme 21. Oktober 2016 1 / 20 Inhaltsverzeichnis 1 Einleitung 2 IO unter Linux typische

Mehr

Btrfs. Linux-Dateisystem der Zukunft? Thomas Schöbel 1 / 20

Btrfs. Linux-Dateisystem der Zukunft? Thomas Schöbel 1 / 20 Btrfs Linux-Dateisystem der Zukunft? Thomas Schöbel 1 / 20 Inhaltsverzeichnis Inhaltsverzeichnis Vorgeschichte Btrfs Ziele Funktionsumfang Erweiterter Speicherbereich Snapshots und Subvolumes Vergleich

Mehr

15 Implementierung von Dateien 15.5 Beispiel: Windows NT (NTFS)

15 Implementierung von Dateien 15.5 Beispiel: Windows NT (NTFS) 1 Dateiverwaltung Basiseinheit Cluster 15 Implementierung von Dateien 15.5 Beispiel: Windows NT (NTFS) 512 Bytes bis 4 Kilobytes (beim Formatieren festgelegt) wird auf eine Menge von hintereinanderfolgenden

Mehr

4 LCN VCN 0 1 2 3 4 5 6 7 LCN 107 108 109 110 131 132 133 134. Extents werden außerhalb der MFT gespeichert

4 LCN VCN 0 1 2 3 4 5 6 7 LCN 107 108 109 110 131 132 133 134. Extents werden außerhalb der MFT gespeichert 3 Master File Table Eintrag für eine kurze Datei Standardinfo Dateiname Zugriffsrechte Daten leer Vorspann Eintrag für eine längere Datei Virtual Cluster Number (VCN) 0 LCN 107 131 VCN 0 1 2 3 5 6 7 LCN

Mehr

Lern- und Arbeitsauftrag <LA_305_1716_PaperDisk.doc>

Lern- und Arbeitsauftrag <LA_305_1716_PaperDisk.doc> Lern- und Arbeitsauftrag Autor: Material Sozialform Arbeitsort Benedikt Sutter- Bonaparte EA GA P Fachbuch X Zimmer Aufgabenstellung Daten werden immer auf Datenträgern abgelegt.

Mehr

OPERATIONEN AUF EINER DATENBANK

OPERATIONEN AUF EINER DATENBANK Einführung 1 OPERATIONEN AUF EINER DATENBANK Ein Benutzer stellt eine Anfrage: Die Benutzer einer Datenbank können meist sowohl interaktiv als auch über Anwendungen Anfragen an eine Datenbank stellen:

Mehr

Normfall 7.2. Whitepaper. Erstellen eines Normfall Projektspeichers auf Basis einer vorhandenen Installation von:

Normfall 7.2. Whitepaper. Erstellen eines Normfall Projektspeichers auf Basis einer vorhandenen Installation von: Normfall 7.2 Whitepaper Erstellen eines Normfall Projektspeichers auf Basis einer vorhandenen Installation von: Microsoft SQL Server 2008 R2/2012/2014 2014 Normfall GmbH Alle Rechte vorbehalten. Vorbemerkungen

Mehr

Beweglicher Kamm: mit Schreib-/Leseköpfen, dicht über Magnetschicht, langsam beweglich (10 ms). Sektoren à 512 Bytes (netto).

Beweglicher Kamm: mit Schreib-/Leseköpfen, dicht über Magnetschicht, langsam beweglich (10 ms). Sektoren à 512 Bytes (netto). H. Plattenspeicher H.1 Aufbau einer Festplatte H.1.1 Physikalischer Aufbau Staubdicht versiegelt. Eine oder mehrere rotierende Platten: 5.400-15.000 U/min., magnetisierbare Schicht, unterteilt in konzentrische

Mehr

Bedienungsanleitung. für Massenspeichergerät PLC-Mem mit Millenium-Schnittstelle

Bedienungsanleitung. für Massenspeichergerät PLC-Mem mit Millenium-Schnittstelle Bedienungsanleitung für Massenspeichergerät PLC-Mem mit Millenium-Schnittstelle Version: 0.2 Erstelldatum: 31.12.2009 Letzter Stand: 23.04.10 14:25 Autor: Dr. Martin Burger, Edmund Burger Firma: Motron

Mehr

Unterrichtseinheit 6

Unterrichtseinheit 6 Unterrichtseinheit 6 NTFS-Berechtigungen: NTFS-Berechtigungen werden verwendet, um anzugeben, welche Benutzer, Gruppen und Computer auf Dateien und Ordner zugreifen können. NTFS speichert eine Zugriffssteuerungsliste

Mehr

H A E S S L E R. DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS. Installation & Anleitung

H A E S S L E R. DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS. Installation & Anleitung H A E S S L E R DoRIS Office Add-In DoRIS Baustein für die Integration von MS Office in DoRIS Installation & Anleitung DoRIS Office Add-In. DoRIS Baustein für die Integration von MS Office in DoRIS Installation

Mehr

Eine generische Datenbank - was ist das?

Eine generische Datenbank - was ist das? Eine generische Datenbank - was ist das? INHALT 1 Einleitung... 2 2 Die Benutzung der Datenbank... 3 2.1 Das Startfenster... 3 2.2 Die Definition der Objekttypen... 4 2.3 Die Verwaltung der Objekte...

Mehr

Erstellung und Installation einer Windows Unattended CD

Erstellung und Installation einer Windows Unattended CD 1 Inhaltsverzeichnis Inhaltsverzeichnis...2 1 Partitionieren... 3 1.1 Was sind Partitionieren?... 3 1.2 Wieso Partitionieren?... 3 1.3 Partition Magic... 3 2 Windows CD mit SP2 erstellen (Slipstreaming)...

Mehr

ecall sms & fax-portal

ecall sms & fax-portal ecall sms & fax-portal Beschreibung des Imports und Exports von Adressen Dateiname Beschreibung_-_eCall_Import_und_Export_von_Adressen_2015.10.20 Version 1.1 Datum 20.10.2015 Dolphin Systems AG Informieren

Mehr

QNAP NAS Software RAID Management

QNAP NAS Software RAID Management QNAP NAS Software RAID Management Troubleshooting für Situationen in denen eine Festplatte im RAID fehlt und das RAID im degraded Modus ist. QNAP nutzt das sogenannte mdadm Tool für das interne RAID Management.

Mehr

Dateisysteme mit Plugin-Funktion

Dateisysteme mit Plugin-Funktion Dateisysteme mit Plugin-Funktion Basierend auf Reiser 4 unter Linux http://llugb.amsee.de/logo.gif Ausgearbeitet und vorgetragen von Michael Berger 1/23 Agenda Die Idee Dateisysteme mit Plugin-Funktion

Mehr

A Datenbanken. A.1 Firebird. A.1.1 Installation des Servers. A.1.2 Installation der Beispieldatenbanken. Datenbanken 1

A Datenbanken. A.1 Firebird. A.1.1 Installation des Servers. A.1.2 Installation der Beispieldatenbanken. Datenbanken 1 Datenbanken 1 A Datenbanken A.1 Firebird Firebird ist als Datenbank konzipiert, die hauptsächlich in andere Anwendungsprogramme integriert wird. Die hier verwendete Oberfläche ist also eher untypisch für

Mehr

Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD

Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD Benötigte Dinge: Eine System Rescue CD (kann vom Internet heruntergeladen werden http://www.sysresccd.org) Eine USB Festplatte

Mehr

So ziehen Sie Ihr Wordpress Blog zu STRATO um

So ziehen Sie Ihr Wordpress Blog zu STRATO um So ziehen Sie Ihr Wordpress Blog zu STRATO um Version 1.0 So ziehen Sie Ihr Wordpress Blog zu STRATO um Das Wordpress-Plugin Duplicator ermöglicht Ihnen, in wenigen Schritten Ihre Wordpress-Instanz umzuziehen.

Mehr

Projekt Weblog :: Integration

Projekt Weblog :: Integration Projekt Weblog :: Integration Die Implementation des Formhandling Frameworks wird nun im Projekt Weblog integriert. Dafür stehen 2 Möglichkeiten zur Auswahl. Sie haben Ihre eigene Implementation der Actions,

Mehr

stattdessen: geräteunabhängiges, abstraktes Format für Speicherung und Transfer von Daten Datei

stattdessen: geräteunabhängiges, abstraktes Format für Speicherung und Transfer von Daten Datei Dateiverwaltung Dateiverwaltung 2002 Prof. Dr. Rainer Manthey Informatik II 1 Dateien weitere zentrale Aufgabe des Betriebssystems: "Verbergen" der Details der Struktur von und der Zugriffe auf Sekundärspeicher-Medien

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Software Engineering Klassendiagramme Einführung

Software Engineering Klassendiagramme Einführung Software Engineering Klassendiagramme Einführung Prof. Adrian A. Müller, PMP, PSM 1, CSM Fachbereich Informatik und Mikrosystemtechnik 1 Aufgabe Erstellen Sie eine Klasse Person in Java. Jede Person verfügt

Mehr

Access 2010 Programmierung Import und Export nach Excel

Access 2010 Programmierung Import und Export nach Excel Access 2010 Programmierung Import und Export nach Excel Excel... ist das Tabellenkalkulationsprogramm von Microsoft Office. wird genutzt, um numerische Daten in Tabellenform zu erfassen. kann Daten automatisch

Mehr

Weitere Informationen zum Sichern von Outlook-Dateien finden Sie in unserem Artikel Datensicherung für Outlook und Outlook Express.

Weitere Informationen zum Sichern von Outlook-Dateien finden Sie in unserem Artikel Datensicherung für Outlook und Outlook Express. 1 von 10 12.10.2006 20:02 Thu, 12.10.2006 Softwarevorstellung - Outback Plus 6 DAtensicherung für Outlook http://www.wintotal.de/vorstellung/outbackplus6/outbackplus6.php Stand: Thu, 12.10.2006 Outback

Mehr

Ihr Heimatverzeichnis. Die Ausgangsverzeichnisse für die neu zu erstellenden Verzeichnisse sind folgender Tabelle zu entnehmen:

Ihr Heimatverzeichnis. Die Ausgangsverzeichnisse für die neu zu erstellenden Verzeichnisse sind folgender Tabelle zu entnehmen: 1. Aufgabe Erzeugen von Verzeichnissen Ausgehend vom Verzeichnisbaum Ihr Heimatverzeichnis / home users xyz ist folgende Struktur zu erzeugen: Ihr Heimatverzeichnis v1 v2 v3 / home users xyz v4 v5 v6 Die

Mehr

Gelöschte Bilder und Dateien einfach wiederherstellen! GELÖSCHTE BILDER UND DATEIEN EINFACH WIEDERHERSTELLEN! 2 SYSTEMVORAUSSETZUNGEN 3

Gelöschte Bilder und Dateien einfach wiederherstellen! GELÖSCHTE BILDER UND DATEIEN EINFACH WIEDERHERSTELLEN! 2 SYSTEMVORAUSSETZUNGEN 3 PhotoRescue tm Anleitung Gelöschte Bilder und Dateien einfach wiederherstellen! PhotoRescue tm 2 GELÖSCHTE BILDER UND DATEIEN EINFACH WIEDERHERSTELLEN! 2 SYSTEMVORAUSSETZUNGEN 3 SCHNELLSTART 3 DIE START

Mehr

Installationsanleitung für den Online-Backup Client

Installationsanleitung für den Online-Backup Client Installationsanleitung für den Online-Backup Client Inhalt Download und Installation... 2 Login... 4 Konfiguration... 5 Erste Vollsicherung ausführen... 7 Webinterface... 7 FAQ Bitte beachten sie folgende

Mehr

Basiseinheit Cluster. Rückgrat des gesamten Systems. Basiseinheit Strom. entsprechender Eintrag für

Basiseinheit Cluster. Rückgrat des gesamten Systems. Basiseinheit Strom. entsprechender Eintrag für 1 Dateiverwaltung 2 Master-File-Table Basiseinheit Cluster 512 Bytes bis 4 Kilobytes (beim Formatieren festgelegt) wird auf eine Menge von hintereinanderfolgenden Blöcken abgebildet logische Cluster-Nummer

Mehr

Handbuch. TMBackup R3

Handbuch. TMBackup R3 Handbuch TMBackup R3 Ersteller: EWERK Medical Care GmbH Erstellungsdatum: 02.08.2013 S. 1 Inhalt 1 Vorwort... 3 2 Installation... 3 2.1 Voraussetzungen... 3 2.2 Installation... 3 3 Einstellungen... 4 3.1

Mehr

Hochschule Karlsruhe Technik und Wirtschaft- 10.7.2013. Anhänge: Fakultät für Informatik und Wirtschaftsinformatik SS 2013 Prof. Schmidt.

Hochschule Karlsruhe Technik und Wirtschaft- 10.7.2013. Anhänge: Fakultät für Informatik und Wirtschaftsinformatik SS 2013 Prof. Schmidt. Fakultät für Informatik und Wirtschaftsinformatik SS 2013 Datenbanken und Informationssysteme II Szenario: Projektverwaltung. Es gibt Projekte, Projektleiter, Mitarbeiter und ihre Zuordnung zu Projekten.

Mehr

Computerpflege. Windows XP Update (Arbeitssicherheit) Dieses Programm öffnet die Internetseite von Windows. Starten Sie die [Schnellsuche].

Computerpflege. Windows XP Update (Arbeitssicherheit) Dieses Programm öffnet die Internetseite von Windows. Starten Sie die [Schnellsuche]. Computerpflege Neben dem Virus Schutz ist es sehr wichtig den PC regelmässig zu Pflegen. Es sammeln sich täglich verschiedene Dateien an die nicht wirklich gebraucht werden und bedenkenlos gelöscht werden

Mehr

Installation des Softwarepakets

Installation des Softwarepakets Installation des Softwarepakets DBK Technitherm Limited 2011. LA0170 Issue 1 1 Installation des Softwarepakets Diese Software ist nur zur Nutzung auf den folgenden Betriebssystemen vorgesehen: Windows

Mehr

OPC-Server VM OPC. Anleitung. Installation, Konfiguration, Verwendung. Version 1.01

OPC-Server VM OPC. Anleitung. Installation, Konfiguration, Verwendung. Version 1.01 Installation, Konfiguration, Verwendung Version 1.01 Seite 2 von 20 OPC-Server VM OPC Revision Version Erstellt am Versionsnummer Bemerkung 1.00 26.07.2013 Erstellung 1.01 05.11.2013 2.14 - Reiter der

Mehr

Typo3 Handbuch Redaktion: Peter W. Bernecker Tel.: 069 / 92 107 292 pw.bernecker@ev medienhaus.de Stand: 6. Oktober 2014

Typo3 Handbuch Redaktion: Peter W. Bernecker Tel.: 069 / 92 107 292 pw.bernecker@ev medienhaus.de Stand: 6. Oktober 2014 Typo3 Handbuch Redaktion: Peter W. Bernecker Tel.: 069 / 92 107 292 pw.bernecker@ev medienhaus.de Stand: 6. Oktober 2014 3. Arbeitsbereich: Wo sind meine Inhalte? Wo kann ich Inhalte einstellen (Rechte)?

Mehr

Bei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist:

Bei Truecrypt handelt es sich um ein Open-Source Verschlüsselungs-Programm, das unter folgendem Link für verschiedene Plattformen verfügbar ist: Selbstdatenschutz Dropbox & Co. sicher nutzen "MEO - My Eyes Only" Um Unbefugten (inklusive dem Betreiber des Dienstes) die Einsicht in Dateien in Clouddiensten zu verwehren, sollte man diese verschlüsseln.

Mehr

Vorlesung 30.03.2009 1) Einführung

Vorlesung 30.03.2009 1) Einführung Vorlesung 30.03.2009 1) Einführung Was versteht man unter dem Begriff Datenbank? - Eine Datenbank ist eine Struktur zur Speicherung von Daten mit lesendem und schreibendem Zugriff - Allgemein meint man

Mehr

Datensicherung. Beschreibung der Datensicherung

Datensicherung. Beschreibung der Datensicherung Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten

Mehr

Macrium Reflect Freeware-Tutorial:

Macrium Reflect Freeware-Tutorial: Macrium Reflect Freeware-Tutorial: Macrium Reflect ist eine Disk-Imaging-Software, die Partitionen im laufenden Betrieb zu sichern vermag. Dabei macht sich das Tool Microsofts Volume Shadow Copy Service

Mehr

Einführung in die Angewandte Bioinformatik

Einführung in die Angewandte Bioinformatik Einführung in die Angewandte Bioinformatik Kurzeinführung in Unix und verwandte Betriebssysteme Webseite zur Vorlesung http://bioinfo.wikidot.com/ Sprechstunde Mo 16-17 in OH14, R214 Sven.Rahmann -at-

Mehr

3 Klassen, Attribute, Methoden

3 Klassen, Attribute, Methoden 3 Klassen, Attribute, Methoden Jörn Loviscach Versionsstand: 10. April 2011, 10:25 Die nummerierten Felder sind absichtlich leer, zum Ausfüllen in der Vorlesung. Videos dazu: http://www.j3l7h.de/videos.html

Mehr

Verzeichnisse unter Linux

Verzeichnisse unter Linux Verzeichnisse unter Linux Autor: Frank Boerner (frank@frank-boerner.de) Formatierung: Matthias Hagedorn (matthias.hagedorn@selflinux.org) Lizenz: GPL Die Linux-Verzeichnisstruktur und das Arbeiten mit

Mehr

telpho10 Hylafax Server

telpho10 Hylafax Server telpho10 Hylafax Server Version 2.6.1 Stand 02.07.2012 VORWORT... 2 NACHTRÄGLICHE INSTALLATION HYLAFAX SERVER... 3 HYLAFAX ENDGERÄT ANLEGEN... 5 HYLAFAX ENDGERÄT BEARBEITEN... 6 ALLGEMEIN... 6 HYLAFAX

Mehr