Προς το περιεχόμενο

Ευρεση bootable Partition

Spect~

Από τον Spect~
στο Software

 Share

Προτεινόμενες αναρτήσεις

  • Moderators
Spect~ Crazy Insomniac

Spect~

Δημοσ.
  • Moderators
Δημοσ.

Ηταν η πιο σχετικη κατηγορια και για αυτο το εβαλα εδω. 

Λοιπον, 

εχω μια ερασια στην οποια εχω ενα image απο ενα usb stick και πρεπει να βρω καποιες πληροφοριες. Ολα κομπλε αλλα εχω κολλησει σε μια και δεν ξερω τι παιζει ακριβως. Πρεπει με τη χρηση του sleuthkit να πουμε αν υπαρχει καποιο bootable partition στο image που εχουμε. 

 

με χρηση της mmls εχω το εξης αποτελεσμα

 

 

 

και με τη χρηση της fsstat στα 3 partition ειναι τα ιδια εκτος απο το 4ο (fat32) οπως φαινεται στη φωτογραφια. Καμια ιδεα?

TheELF Crazy Insomniac

TheELF

Δημοσ.
Δημοσ.

Κοιτάς το Mbr

https://en.wikipedia.org/wiki/Master_boot_record#Sector_layout

και από αυτό βρίσκεις τα partition table entries

https://en.wikipedia.org/wiki/Master_boot_record#PTE

 

 

 

Offset
(bytes) Field
length Description
+0h  1 byte Status or physical drive (bit 7 set is for active or bootable, old MBRs only accept 80h, 00h means inactive, and 01h–7Fh stand for invalid)[c]

Αν περιέχει κάναν hex editor(που πρέπει) λογικά θα το βρεις σχετικά εύκολα.

  • Moderators
Spect~ Crazy Insomniac

Spect~

Δημοσ.
  • Μέλος
  • Moderators
Δημοσ.

Υποτιθεται οτι το κανουμε μονο με το sleuthkit χωρις hex editor οπως FTK Imager! Για αυτο εχω χαθει λιγο

TheELF Crazy Insomniac

TheELF

Δημοσ.
Δημοσ.

Δεν ξέρω τι περιέχει το sleuthkit και ούτε νομίζω να ξέρουν αρκετοί εδώ μέσα για να πάρεις ποιο συγκεκριμένη βοήθεια.

 

Δεν έχει κάποιο εργαλείο έστω σαν το type/print που να μπορεί να σου δείξει τι περιέχει το αρχείο σε hex;

Ακόμα και κάτι σαν το dd αν βάλεις σαν έξοδο αρχείο κειμένου και βάλεις τα offset που θες να διαβάσεις θα σου κάνει δουλειά. 

Άντε,έψαξα λίγο λογικά με αυτό θα το κάνεις

sigfind: Searches for a binary value at a given offset. Useful for recovering lost data structures.

http://wiki.sleuthkit.org/index.php?title=TSK_Tool_Overview#Disk_Tools

  • Moderators
Spect~ Crazy Insomniac

Spect~

Δημοσ.
  • Μέλος
  • Moderators
Δημοσ.

για καποιο λογο δεν εχω το sigfind! Μιλησα με τον καθηγητη και ειπε οτι μπορουμε να κανουμε αναλυση με το FTK Imager. Απλα για να ειμαι σιγουρος. Ξερουμε οτι ο MBR βρισκεται στο sector 0 πιανει και οτι τελειωνει με την υπογραφη 55 AA. Οποτε κοιταξα στο Protective MBR και δεν βρηκα καποια εγγραφη οπου το πρωτο byte ειναι 0χ80 το οποιο σημαινει οτι ειναι Bootable αρα δεν υπαρχει καποιο bootable partition σωστα? Βαζω φωτογρφαιες απο ολα τα partition και τον Protective MBR για να μου πεις και εσυ αν κανω κατι λαθος ! Μονο το protective MBr πρεπει να τσεκαρουμε απλα εβαλα απο ολα

 

 

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...