Scribd Logo
Upload

Welcome to Scribd!

  • GPT

    Uploaded by

    p4r4tr00per
    65 views16 pages

    Original Title

    Gpt

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    65 views16 pages

    GPT

    Uploaded by

    p4r4tr00per

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 16

    GPT-Partitionen

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 99

    UEFI

    Auf 64-Bit-Systemen wird das klassische PC-BIOS abgelst durch UEFI (Unified Extensible Firmware Interface)

    Standardisierte Neuimplementierung des PC-BIOS fr 64Bit, kann aber auch klassisches BIOS emulieren Wesentlich getrieben durch Intel Enthlt minimale Shell und Netzwerkfhigkeit, auch einen Bootloader

    Siehe http://www.uefi.org/home/

    Teil von UEFI ist die Spezifikation von GUID Partition Table (GPT), dem Nachfolger der klassischen DOSPartitionen
    Seite 100

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    GUID Partition Table

    Standard fr Partitionen und Partitionstabellen auf Festplatten

    Nachfolger der klassischen DOS-Partitionen Erlaubt es, Festplatten und Partitionen grer als 2 TB zu verwalten

    GUID Partition Table (GPT)

    erlaubt bis zu 128 Partitionen verwendet 64-Bit-LBA-Adressen enthlt redundante Kopien wichtiger Datenstrukturen zur Fehlertoleranz

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 101

    GPT berblick

    In GPT besteht ein Laufwerk aus 5 Bereichen:

    Protective MBR GPT Header Partition Table Partition Area Backup Area

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 102

    Erluterungen

    Protective MBR Pseudo MBR, der das Laufwerk fr ltere Werkzeuge als belegt markiert Startet in Sektor 0 Enthlt eine klassische DOS-Partitionstabelle mit einem einzigen Eintrag vom Typ 0xEE, der die gesamte Platte abdeckt

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 104

    Erluterungen

    GPT Header Beginnt in Sektor 1 Definiert Gre und Lage der eigentlichen Partititionstabelle Windows beschrnkt die Zahl der Eintrge in der Partitionstabelle auf 128 Enthlt CRC-Checksumme (von Header und Partitionstabelle) zur Fehlererkennung und korrektur

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 105

    Erluterungen

    Partition Table Enthlt die eigentliche Partitionstabelle Jeder Eintrag enthlt Start- und Endadresse, Typfeld, Name, Attribute und ein GUID-Feld GUID (Globally Unique Identifier) ist ein eindeutiger 128-Bit-Wert fr die Partition und wird beim Erzeugen gesetzt

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 106

    Erluterungen

    Partition Area Bereich fr Partitionen (grter Teil des Laufwerks) Backup Area Enthlt Kopie des GPT Header und der Partition Table Startet im ersten Sektor nach der Partition Area

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 107

    Rckwrtskompatibilitt

    GPT sieht aus wie DOS:

    mmls t dos gpt-disk.dd zeigt nur die GPT safety partition

    Wenn man explizit GPT angibt, kann man die GPTPartitionen sehen:

    mmls -t gpt gpt-disk.dd

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 109

    GPT Header
    Essentiell?

    Bytes

    Beschreibung

    0-7
    ja ja nein nein nein nein

    Signatur (EFI PART)

    nein

    8-11

    Version

    12-15

    Gre des GPT Headers in Bytes

    16-19

    CRC32 Checksumme des GPT Header

    20-23

    reserviert (ausgenullt)

    24-31

    LBA dieses Headers

    32-39

    LBA des Backup Headers

    40-47

    LBA des Beginns der Partition Area

    ja
    nein

    48-55

    LBA des Endes der Partition Area

    56-71

    Datentrger-GUID

    nein
    ja ja ja nein nein
    Seite 110

    72-79

    LBA des Beginns der Partitionstabelle

    80-83

    Anzahl der Eintrge in Partitionstabelle

    84-87

    Gre eines Eintrages in der Partitionstabelle

    88-91

    CRC32-Checksumme der Partitionstabelle

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    ab 92

    bis Ende des Sektors: reserviert (ausgenullt)

    GPT-Partitionseintrag
    essentiell?

    Bytes

    Beschreibung

    0-15
    nein ja ja nein nein

    Typfeld

    nein

    16-31

    Partitions-GUID

    32-39

    LBA des Beginns der Partition (little endian)

    40-47

    LBA des Endes der Partition (little endian)

    48-55

    Attribute (siehe nchste Folie)

    56-127

    Partitionsname in UTF-16LE (maximal 36 Zeichen)

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 113

    Attribute

    Bit

    Bedeutung

    Systempartition (soll vor allem vor unvorsichtigem Lschen bewahren)

    vor EFI verstecken

    bootfhig (analog zum MBR active flag)

    60

    fr Windows: nur lesen (read-only)

    62

    fr Windows: versteckt (hidden)

    63

    fr Windows: nicht automatisch mounten (nicht automatisch einen Laufwerksbuchstaben zuweisen)

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 114

    Partitionstypen (Auswahl)
    Bedeutung
    unbenutzt Partition mit DOSPartitionstabelle

    Wert

    00000000-0000-0000-0000-000000000000

    024DEE41-33E7-11D3-9D69-0008C781F39F

    C12A7328-F81F-11D2-BA4B-00A0C93EC93B

    EFI-Systempartition
    BIOS-Bootpartition (der String !haHdInotNeedEFI) von Microsoft reservierte Partition (MRP) Microsoft Wiederherstellungspartition Datenpartition

    21686148-6449-6E6F-744E-656564454649

    E3C9E316-0B5C-4DB8-817D-F92DF00215AE

    DE94BBA4-06D1-4D40-A16A-BFD50179D6AC

    EBD0A0A2-B9E5-4433-87C0-68B6B72699C7

    5808C8AA-7E8F-42E0-85D2-E1E90434CFB3

    LDM Metadaten
    LDM Daten
    Seite 116

    AF9B60A0-1431-4F62-BC68-3311714A69AD

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Demo mit Hexeditor

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 119

    Quellen GPT

    Carrier, S. 139-144 http://de.wikipedia.org/wiki/GUID_Partition_Table Microsoft Windows and GPT FAQ, http://msdn.microsoft.com/enus/library/windows/hardware/gg463525.aspx

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 120

    Rckblick

    Festplattentechnologie

    Boot Prozess, Arten von Festplatten, Standards

    Sicherung (Preservation) von Festplattendaten

    Allgemeine Methodik und Verlsslichkeit der Tools Lesen des Originals Schreiben der Kopie Integritt der Kopie

    Festplattenanalyse

    Festplatten und Partitionen

    Vorlesung Forensische Informatik, Sommersemester 2013, Universitt Erlangen, https://www1.informatik.uni-erlangen.de

    Seite 121

    You might also like