logging in or signing up PDO B1a FileDel terrery Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 150 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (0) Added: October 30, 2008 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript File Deletion : File Deletion (and recovery) Inhoud : Inhoud Harddisk Indeling Bestandsopslag Directory Verwijdering Prullenbak Bestandsherstel Hard- en SoftLinks Advanced Recovery Opdracht Bonus Opdracht Harddisk Indeling : Harddisk Indeling Een harddisk is ingedeeld in 1 of meerdere partities. Elke partitie is geformatteerd met een bestandssysteem Een bestandssysteem deelt de partitie op in clusters, van enkele KB groot. Alle clusters worden genummerd, van 0 t/m x… Bestandsopslag : Bestandsopslag Als er een nieuw bestand wordt aangemaakt gebeuren er 2 dingen: De data (het eigenlijke bestand) wordt weggeschreven op een aantal ‘vrije’ clusters. (Als de clusters niet aaneengesloten zijn spreekt men van een gefragmenteerd bestand) De meta-data, zoals bestandsnaam, aanmaakdatum, rechten en natuurlijk de nummers (adressen) van de clusters worden weggeschreven in het directorybestand van het filesystem Directory : Directory De directory is vergelijkbaar met de inhoudsopgave van een boek, het vertelt waar (op welke pagina’s) bepaalde informatie (hoofdstukken,afbeeldingen) te vinden zijn. Omdat de directorybestanden zo belangrijk zijn slaan geavanceerde bestandssystemen vaak een reservekopie van dit bestand . Verwijdering : Verwijdering Als er een bestand verwijderd wordt, gebeurt dit nooit door de data te overschrijven, maar wordt slechts de metadata veranderd. De bestandsnaam wordt uit de directory gewist en de clusters staan dan weer als ‘vrij’ gemarkeerd. Zolang er niet naar de disk geschreven wordt blijft de data, het eigenlijke bestand, dus gewoon bewaard! Er bestaan kleine computerprogramma’s (tooltjes) waarmee je de gewiste metadata uit de directory kunt terugzetten. Deze werken natuurlijk alleen goed totdat de zgn. ‘vrije’ niet overschreven zijn. Prullenbak : Prullenbak De Prullenbak of recycle bin heeft weinig met het wissen van bestanden te maken. Het is slechts een mapje waarin je bestanden kunt zetten. Wel is het zo dat veel besturingssystemen bestanden die door de gebruiker gewist worden, gewoon in dit mapje zetten, en ze pas uit de directory wist bij het legen van de prullenbak. Bestandsherstel : Bestandsherstel Zorg er altijd voor dat je de partitie Mount (beschikbaar maakt) op een manier dat je er wel naar kunt schrijven, maar dat dat alleen gebeurt als jij dat wilt. Maw. NOOIT als primaire systeempartitie, anders gaat het OS op de achtergrond misschien wel z’n swapfile of register of andere bestanden herschrijven en gebruikt daarbij de zgn. vrije clusters. Hard- en SoftLinks : Hard- en SoftLinks Snelkoppelingen (softlinks) zijn entries(records) in de directory die verwijzen naar een andere record. Het verwijderen van een softlink kan altijd zonder risico omdat het bestand en de oorspronkelijke metadata dan blijven bestaan. Hardlinks (onder Linux/UNIX) zijn directory-records die rechtstreeks verwijzen naar de clusters. Eén bestand kan dan dus 2 of meerdere namen/eigenaren/rechten hebben! Het verwijderen van een hardlink betekent dat de clusters als ‘vrij’ gemarkeerd worden. Advanced Recovery : Advanced Recovery Software : Met een zgn. disk-editor (bijv. van Paragon of Acronis) kun je alle bytes in elke cluster van een harddisk bekijken en bewerken. Je kunt dan ook als de directory metadata verloren is op de clusters ‘kijken’ welke info ze bevatten en zo nog e.e.a. herstellen. Goede kennis van het betreffende bestandssysteem is hiervoor vereist. Hardware : De FBI beweert dat je een bit tenminste 7 keer moet overschrijven op de harddisk om ervoor te zorgen dat een ‘1’ onmiskenbaar in een ‘0’ is veranderd. In speciale laboratoria kan men soms nog data herstellen die nog niet voldoende overschreven is. Dit is een kostbare operatie. Opdracht : Opdracht Zoek voor de bestands-systemen : Fat NTFS EXT2 Een (bij voorkeur freeware) tooltje waarmee je gewiste bestanden op directory-niveau kunt herstellen. Laat zien dat de tooltjes werken door ze te testen op je virtuele machines. Bonus Opdracht : Bonus Opdracht Geef X redenen waarom deze situatie verdacht is: DIRECTORY Filename : FOOBAR.TXT Owner: K.Mitnick Creation Date: 01/01/1980 Rights : rw.r.rwx Clusters: 4,123,8978,8979 CLUSTER 8979 push edx invoke GlobalAlloc, GPTR, sizeof HASH_TABLE_ENTRY pop edx mov [edx].HASH_TABLE_ENTRY.lpNext, eax m2m [eax].HASH_TABLE_ENTRY.dwHash, Item .ENDIF ; Return TRUE CLUSTER 4 ; Adds Item to Hash Table, returns TRUE if Item wasn't in the table HashTableAdd proc lpTable, dwTableLen, Item: DWORD ; edx = (Item mod dwTableLen)*4 mov eax, Item xor edx, edx mov ecx, dwTableLen div ecx shl edx, 2 ; Offset to root entry mov eax, lpTable You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
PDO B1a FileDel terrery Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINTLite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 150 Category: Entertainment License: All Rights Reserved Like it (0) Dislike it (0) Added: October 30, 2008 This Presentation is Public Favorites: 0 Presentation Description No description available. Comments Posting comment... Premium member Presentation Transcript File Deletion : File Deletion (and recovery) Inhoud : Inhoud Harddisk Indeling Bestandsopslag Directory Verwijdering Prullenbak Bestandsherstel Hard- en SoftLinks Advanced Recovery Opdracht Bonus Opdracht Harddisk Indeling : Harddisk Indeling Een harddisk is ingedeeld in 1 of meerdere partities. Elke partitie is geformatteerd met een bestandssysteem Een bestandssysteem deelt de partitie op in clusters, van enkele KB groot. Alle clusters worden genummerd, van 0 t/m x… Bestandsopslag : Bestandsopslag Als er een nieuw bestand wordt aangemaakt gebeuren er 2 dingen: De data (het eigenlijke bestand) wordt weggeschreven op een aantal ‘vrije’ clusters. (Als de clusters niet aaneengesloten zijn spreekt men van een gefragmenteerd bestand) De meta-data, zoals bestandsnaam, aanmaakdatum, rechten en natuurlijk de nummers (adressen) van de clusters worden weggeschreven in het directorybestand van het filesystem Directory : Directory De directory is vergelijkbaar met de inhoudsopgave van een boek, het vertelt waar (op welke pagina’s) bepaalde informatie (hoofdstukken,afbeeldingen) te vinden zijn. Omdat de directorybestanden zo belangrijk zijn slaan geavanceerde bestandssystemen vaak een reservekopie van dit bestand . Verwijdering : Verwijdering Als er een bestand verwijderd wordt, gebeurt dit nooit door de data te overschrijven, maar wordt slechts de metadata veranderd. De bestandsnaam wordt uit de directory gewist en de clusters staan dan weer als ‘vrij’ gemarkeerd. Zolang er niet naar de disk geschreven wordt blijft de data, het eigenlijke bestand, dus gewoon bewaard! Er bestaan kleine computerprogramma’s (tooltjes) waarmee je de gewiste metadata uit de directory kunt terugzetten. Deze werken natuurlijk alleen goed totdat de zgn. ‘vrije’ niet overschreven zijn. Prullenbak : Prullenbak De Prullenbak of recycle bin heeft weinig met het wissen van bestanden te maken. Het is slechts een mapje waarin je bestanden kunt zetten. Wel is het zo dat veel besturingssystemen bestanden die door de gebruiker gewist worden, gewoon in dit mapje zetten, en ze pas uit de directory wist bij het legen van de prullenbak. Bestandsherstel : Bestandsherstel Zorg er altijd voor dat je de partitie Mount (beschikbaar maakt) op een manier dat je er wel naar kunt schrijven, maar dat dat alleen gebeurt als jij dat wilt. Maw. NOOIT als primaire systeempartitie, anders gaat het OS op de achtergrond misschien wel z’n swapfile of register of andere bestanden herschrijven en gebruikt daarbij de zgn. vrije clusters. Hard- en SoftLinks : Hard- en SoftLinks Snelkoppelingen (softlinks) zijn entries(records) in de directory die verwijzen naar een andere record. Het verwijderen van een softlink kan altijd zonder risico omdat het bestand en de oorspronkelijke metadata dan blijven bestaan. Hardlinks (onder Linux/UNIX) zijn directory-records die rechtstreeks verwijzen naar de clusters. Eén bestand kan dan dus 2 of meerdere namen/eigenaren/rechten hebben! Het verwijderen van een hardlink betekent dat de clusters als ‘vrij’ gemarkeerd worden. Advanced Recovery : Advanced Recovery Software : Met een zgn. disk-editor (bijv. van Paragon of Acronis) kun je alle bytes in elke cluster van een harddisk bekijken en bewerken. Je kunt dan ook als de directory metadata verloren is op de clusters ‘kijken’ welke info ze bevatten en zo nog e.e.a. herstellen. Goede kennis van het betreffende bestandssysteem is hiervoor vereist. Hardware : De FBI beweert dat je een bit tenminste 7 keer moet overschrijven op de harddisk om ervoor te zorgen dat een ‘1’ onmiskenbaar in een ‘0’ is veranderd. In speciale laboratoria kan men soms nog data herstellen die nog niet voldoende overschreven is. Dit is een kostbare operatie. Opdracht : Opdracht Zoek voor de bestands-systemen : Fat NTFS EXT2 Een (bij voorkeur freeware) tooltje waarmee je gewiste bestanden op directory-niveau kunt herstellen. Laat zien dat de tooltjes werken door ze te testen op je virtuele machines. Bonus Opdracht : Bonus Opdracht Geef X redenen waarom deze situatie verdacht is: DIRECTORY Filename : FOOBAR.TXT Owner: K.Mitnick Creation Date: 01/01/1980 Rights : rw.r.rwx Clusters: 4,123,8978,8979 CLUSTER 8979 push edx invoke GlobalAlloc, GPTR, sizeof HASH_TABLE_ENTRY pop edx mov [edx].HASH_TABLE_ENTRY.lpNext, eax m2m [eax].HASH_TABLE_ENTRY.dwHash, Item .ENDIF ; Return TRUE CLUSTER 4 ; Adds Item to Hash Table, returns TRUE if Item wasn't in the table HashTableAdd proc lpTable, dwTableLen, Item: DWORD ; edx = (Item mod dwTableLen)*4 mov eax, Item xor edx, edx mov ecx, dwTableLen div ecx shl edx, 2 ; Offset to root entry mov eax, lpTable