विंडोज़ वॉल्यूम अद्वितीय आईडी की गणना कैसे करता है?

Question

जहां तक ​​मैं समझता हूँ Windows ड्राइवर (Ftdisk) प्रत्येक खंड में यह सिस्टम पर पाता है और के लिए बनाता है वस्तु "HardDiskVolume" इसके लिए रजिस्ट्री रिकॉर्ड बनाता है:

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\ 
\??\Volume{GUID} = BINARY_DATA 

उस पल मात्रा से \??\Volume{GUID}

के रूप में लगाया गया है

BINARY_DATA इस ड्राइव को उसी रजिस्ट्री हाइव में \DosDevices\<DISK_NAME> पर मैप करने के लिए उपयोग किया जाता है ताकि डिस्क में अक्षर हो।

BINARY_DATA को वॉल्यूम के लिए अद्वितीय होना चाहिए और अगर मैं इस डिस्क को किसी अन्य पीसी में डालूं, तो भी बदला नहीं जाना चाहिए, है ना?

मेरे qunestion है:

1. क्या GUID यहाँ है? क्या यह हर बार विंडोज बूट होने पर ftdisk द्वारा उत्पन्न यादृच्छिक संख्या है?
2. विंडोज BINARY_DATA की गणना कैसे करता है?

मैंने GetVolumeInformation का उपयोग करके lpVolumeSerialNumber पढ़ा है। यह सिर्फ लंबा पूर्णांक है और यह BINARY_DATA जैसा दिखता नहीं है।

BINARY_DATA= F(VolumeSerialNumber, SOMETHING). 

कुछ क्या है:

मेरा मानना ​​है कि BINARY_DATAlpVolumeSerialNumber से समारोह (जो ओएस द्वारा उत्पन्न होता है जब मात्रा प्रारूपित) और कुछ और है?

मैं पहले से ही MSDN और Russinovich/सोलोमन किताब पढ़ सकते हैं और अभी भी यह नहीं मिल सकता है ..

---

ओह, मैं पाया।

यह कहता है "डेटा जो मूल डिस्क वॉल्यूम ड्राइव अक्षरों और वॉल्यूम नामों के लिए मानों में संग्रहीत करता है वह डेटा Windows NT 4-style डिस्क हस्ताक्षर और वॉल्यूम से जुड़े पहले विभाजन की प्रारंभिक ऑफसेट है"।

लेकिन "विंडोज एनटी 4-शैली डिस्क हस्ताक्षर" क्या है?

यहाँ से: http://www.microsoft.com/resources/documentation/windowsnt/4/server/reskit/en-us/resguide/diskover.mspx?mfr=true

यही कारण है "चार बाइट डिस्क हस्ताक्षर प्रत्येक हार्ड डिस्क के पहले क्षेत्र में है कि"

तो मैं HXD उपकरण का उपयोग करता है और मेरे BINARY_DATA से चार बाइट्स पाया मैंने इसे पंक्ति 1 बी 0 और कॉलम 08 से 0 बी में पाया।

ऐसा लगता है कि इंटरनेट पर एक और व्यक्ति है जो इसके बारे में पता है: http://www.pcreview.co.uk/forums/image-copy-drive-wont-boot-properly-t3761034.html))

तो अगर मैं डिस्क पर एमबीआर बदल यह अपने पत्र :)

Answer 1

एक के लिए ढीला होता है, GUIDs GUID हैं वे सिर्फ एक यादृच्छिक रूप से जेनरेट किए गए नंबर अनुक्रम हैं जिनके पास डुप्लिकेट प्रविष्टि होने का बहुत कम मौका है। मुझे संदेह है कि यह विंडोज बूट हर बार उत्पन्न होगा, हालांकि मैं स्वीकार करूंगा कि यह संभव है।मैंने इसे कभी नहीं देखा क्योंकि मुझे अपने एचडीआई की GUID नहीं दिखाई देती है जो अक्सर

इसके अलावा, क्या आप lpVolumeSerialNumber का संदर्भ दे रहे हैं? यदि नहीं, तो आपको शायद स्मृति पता मिल रहा है। "करने के लिए लंबे समय सूचक ..." "एल.पी." == खंड क्रम संख्या अपने आप में एक DWORD तरह लग रहा है, एक 32-बिट पूर्णांक

Answer 2

यहाँ की हंगेरी संकेतन Wikipedia से जवाब (का मुख्य हिस्सा) है:

"सीरियल नंबर एक डिस्क के स्वरूपण के समय में वर्तमान कंप्यूटर पर वास्तविक समय घड़ी पर दिनांक और समय द्वारा निर्धारित एक 32-बिट संख्या है।"

Answer 3

यह कुछ वर्षों से वापस जा रहा है क्योंकि मैंने एक ऐसी कंपनी में काम किया जो हार्ड डिस्क के पहले 62 क्षेत्रों को पढ़ और लिखता था। हमें सावधान रहना होगा कि सभी 62 क्षेत्रों को ओवरराइट न करें या हमें विंडोज सक्रियण में समस्याएं होंगी। आमतौर पर उपहारों को संग्रहित किया जाता है हालांकि यह एक रहस्य का अधिक नहीं है।

एमबीआर से पहले एफएटी -62 क्षेत्रों पर निश्चित रूप से 'अप्रयुक्त' है और किसी भी कार्यक्रम द्वारा प्रयोग योग्य है। मैंने नीचे दिए गए फोरेंसिक पेज से टेक्स्ट कॉपी किया है और आप देखेंगे कि इसकी संभावना है कि अद्वितीय 62 पहचानकर्ताओं पर अद्वितीय पहचानकर्ता संग्रहीत किए जाएंगे। फोरेंसिक विश्लेषकों को यह निर्धारित करने के लिए रजिस्ट्री में डेटा का उपयोग कर सकते हैं कि आपने हार्ड डिस्क हटा दी है और फिर इसके लिए देख सकते हैं। मुझे लगता है कि पहचानकर्ता विंडोज पर प्रारूप में लिखा गया था। द्विआधारी डेटा टाइम स्टैंप है और प्रारूप पर बनाया गया है और इसके साथ ही यह वास्तव में मजबूत सबूत है कि आपको यह पता होना चाहिए कि बाइनरी डेटा उम्मीद है कि पहले 62 विभाजनों पर कहीं भी एन्कोड नहीं किया गया है।

असल में सही मुझे यह मिला! यह WinHex बम है! आप PHYSICAL ड्राइव (तार्किक नहीं) पर 0 से (62 * 512) से पढ़ना चाहते हैं। मुझे नहीं लगता कि आपको संभवतया सक्रियण की तरह किसी अन्य समस्या को बदलने में कोई समस्या होगी, यह एक पुरानी समस्या है और मुझे विश्वास है कि वे बंद हो गए हैं क्योंकि लोग अब अपने एसएसडी को पिघलते समय अपडेट करते हैं।

से http://www.forensicfocus.com/a-forensic-analysis-of-the-windows-registry

Windows रजिस्ट्री

डेरिक जे किसान Champlain कॉलेज बर्लिंगटन का एक फोरेंसिक विश्लेषण, वरमोंट dfarmer03@gmail.com

घुड़सवार डिवाइस

रजिस्ट्री में एक कुंजी है जो सिस्टम से जुड़े प्रत्येक ड्राइव को देखना संभव बनाता है। कुंजी HKLM \ SYSTEM \ mountedDevices है और यह एनटीएफएस फ़ाइल सिस्टम द्वारा उपयोग की जाने वाली घुड़सवार वॉल्यूम्स का डेटाबेस संग्रहीत करता है। प्रत्येक \ DosDevices \ x के लिए बाइनरी डेटा: मान में प्रत्येक वॉल्यूम की पहचान करने के लिए जानकारी होती है। यह चित्रा 7 में प्रदर्शित किया गया है, जहां \ DosDevice \ F: वॉल्यूम है और 'स्टोरेज हटाने योग्य मीडिया' के रूप में सूचीबद्ध है।

चित्रा की मात्रा का 7 पहचान \ DosDevice \ एफ:

यह जानकारी एक डिजिटल फोरेंसिक परीक्षक के लिए उपयोगी के रूप में यह हार्डवेयर उपकरणों कि इस प्रणाली से जोड़ा जाना चाहिए पता चलता हो सकता है। इसलिए, यदि कोई डिवाइस mountedDevices की सूची में दिखाया गया है और डिवाइस सिस्टम में भौतिक रूप से नहीं है, तो यह संकेत दे सकता है कि उपयोगकर्ता ने सबूत छुपाने के प्रयास में ड्राइव को हटा दिया। इस मामले में, परीक्षक को पता होगा कि उनके पास अतिरिक्त सबूत हैं जिन्हें जब्त करने की आवश्यकता है।

क्षेत्रों 1-62 1 से
http://www.beginningtoseethelight.org/fat16/index.htm क्षेत्रों उद्धृत - 62 (> = 31,744 बाइट्स)

क्षेत्रों 1 - 62 सम्मिलित सामान्य रूप से खाली छोड़ दिया जाता। अनुप्रयोग जो इसका उपयोग करते हैं उनमें शामिल हैं: मल्टी बूट लोडर जैसे रेनिश उन्नत बूट प्रबंधक। रिफ्लेक्स-मैग्नेटिक्स डिस्कनेट जैसे सुरक्षा कार्यक्रम। वायरस जो खुद को मास्टर बूट रिकॉर्ड में कॉपी करता है ताकि वे हर बार लोड कर सकें, कभी-कभी वास्तविक क्षेत्र में वास्तविक एमबीआर को स्थानांतरित कर सकते हैं, साथ ही वायरस कोड भी ले जा सकते हैं। पूर्ण डिस्क एन्क्रिप्शन प्रोग्राम और डिस्क अनुवाद बहुत बड़ी हार्ड डिस्क के लिए सॉफ़्टवेयर भी यहां रह सकता है।